News

Bei SMS Trojanergefahr

Neues aus der Malware-Trickkiste: aktuell zeigt eine Spam-SMS, wie einfach es ist, durch Täuschung massenhaft Trojaner an den User zu bringen.

24.06.2006, 14:19 Uhr
Laptop© Micha Bednarek / Fotolia.com

Morgens am Frühstückstisch piepst plötzlich das Handy von Glissandra Neitzel. Ein Dating-Service bedankt sich per SMS für ihre Anmeldung und erklärt ihr, dass nun fortan zwei Dollar täglich für die Nutzung berechnet werden. So gar nicht erfreut über diese Nachricht, beginnt sie zunächst mit einer Schimpfattacke gegen ihren Mann – wer sollte sonst dafür verantwortlich sein – und macht sich direkt auf den Weg ins Netz, um sich für den ungewollten Service wieder auszutragen. Gut, dass ihr Mann von Berufs wegen misstrauisch gegenüber solchen Nachrichten ist. Als leitender Mitarbeiter bei Frisk International, bekannt für die Antiviren-Software F-Prot, läuten bei Michael Neitzel bei Vorgängen dieser Art alle Alarmglocken.
Island Spam unter
Spätestens als auch Nachbarn von dieser merkwürdigen SMS berichten und auch eine ganze Reihe Kollegen plötzlich ungewollte Dating-Service Kunden sind, wird klar: da ist was faul im Staate Island. Tatsächlich wird die kleine Insel hoch im Norden seit Anfang Juni zehntausendfach von diesen SMS heimgesucht, immer mit dem gleichen Inhalt: Willkommen zu "Irreal Dating". Die Nachricht verweist auf die Website www.irrealhost.com, die mit dem angepriesenen Liebesgeflüster allerdings herzlich wenig zu tun hat. Der Klick auf den "Unregister"-Button bringt nämlich nicht die erwünschte Abmeldung vom Dating-Service, sondern startet ein Programm. Einmal durch die Windows-Popups der angeblichen Software für die Abmeldung geklickt, schon wird der genutzte Rechner zum Problemfall: er wurde mit einem Trojanischen Pferd infiziert, das Spam versendet und Passwörter klaut.
"sozialer" Trickbetrug
Das Prinzip von "Irreal Dating" ist einfach und hat mittlerweile sogar einen Namen: "social engineering" nennt sich der Trickbetrug, bei dem Menschen durch Vortäuschung falscher Tatsachen dazu gebracht werden, Passwörter herauszugeben oder eben einen Trojaner zu sich nach Hause einzuladen. Die SMS droht happige Kosten an – zwei Dollar am Tag, also umgerechnet etwa 1,58 Euro, die direkt mit der Handy-Rechnung eingezogen werden. Wer sich noch fragt, wie er zu dieser Anmeldung kommt, geht online und stellt fest, dass dort lediglich ein Feld für die Eingabe einer Handynummer zu finden ist – andere persönliche Daten werden nicht abgefragt. Da liegt die Annahme nahe, jemand habe sich ein Scherz erlauben wollen und deshalb die Nummer dort eingetragen. Alles in allem macht das Angebot einen so unseriösen Eindruck, dass sich die Betroffenen beeilen, den Dienst wieder loszuwerden – und damit tappen sie dann in die Falle. Und so wie es aussieht, will sich "Irreal Dating" nicht auf das kleine Island beschränken: zukünftig könnten auch deutsche Handy-Nutzer von dem groß angelegten Betrug betroffen sein.
"Die gefälschte Website verspricht einen Partner direkt aus dem Himmel. Stattdessen erhält der Nutzer nach dem Download des Programms die direkte Tür zur Hölle", so der Experte Neitzel. Der Trojaner hat vielfältige Talente: einmal installiert, wird der infizierte Rechner zum so genannten Zombie und kann komplett vom Angreifer kontrolliert werden. Die Hauptaufgabe des Schädlings ist es, ein Bot-Netz zu bilden, um Spam-Mails zu versenden. Das an sich ist schon schlimm genug, die Aufgaben des Trojaners gehen aber noch viel weiter. Das Programm versucht, vertrauliche Onlinebanking-Daten zu stehlen, ebenso wie TCP/IP Interface-Einstellungen, Internet Account Manager POP3 Nutzernamen und Passwörter und Windows Benutzerkennungen. Ziel des Schädlings sind neben Banken aus Großbritannien und USA auch deutsche Geldinstitute.
Passwort-Schnüffler
Hat sich der Trojaner erstmal eingenistet, setzt er sich im Windowssystem fest und öffnet einen TCP/IP Port, um eingehende Kontrollkommandos von seinem Herrchen empfangen zu können. Der integrierte Keylogger, eine Komponente der Software, die Eingaben des Benutzers am Computer mitprotokolliert, legt die erhaltenen Daten in eine Datei im Windows Ordner ab, die dann an die "Irreal Dating" Website gesandt wird. Zusätzlich ändert der Trojaner die Einstellungen des Internet sowie des Windows Explorer. Ruft der Nutzer dann eine Onlinebanking-Website auf, erkennt der Schädling am Titel des Webbrowser-Fensters, das es sich um die Seite einer Bank handelt und sucht nach üblichen Formulierungen, wie "bitte PIN eingeben", um die Eingaben an dieser Stelle auszuspionieren und zu speichern.
Antiviren-Programme geblockt
Darüber hinaus werden allgemeine Angaben, wie IP-Adresse des infizierten Rechners oder die Systeminformationen, mitprotokolliert. Zu allem Überfluss sperrt der Trojaner auch noch den Zugang zu zahlreichen Update-Seiten von Antiviren-Programmen, um eine Aktualisierung und damit eine mögliche Enttarnung zu vermeiden. Was aktuell allerdings noch unwahrscheinlich ist. Laut Michael Neitzel von Frisk International gibt es augenblicklich nur zwei Antiviren-Programme, die den Schädling überhaupt erkennen: F-Prot findet ihn proaktiv per Heuristik, Dr. Web hat ihn kürzlich als Signatur hinzugefügt.
Spannend ist auch, was Neitzel über die Herkunft des Trojanischen Pferds herausgefunden haben will. So wird die Website irrealhost.com von einem 53 Jahre alten Software-Entwickler aus den USA betrieben. Versender der SMS scheint aber die britische Website csoft.co.uk zu sein. Der Keylogger hingegen ist das Werk der russischen Entwickler "Smash and SARS", denen auch die russische Website RATSystems.org gehört. Wer auch immer hinter der Attacke steckt, mit der Methode lässt sich ordentlich Geld verdienen. Da nicht nur deutsche Banken angegeben sind, nach denen gescannt werden soll, sondern auch deutsche Begriffe wie "Konto" oder "Benutzer" vorgegeben sind, liegt es nahe, dass "irreal dating" sich demnächst auch hierzulande Handy-Nutzer vornehmen wird. Bleibt zu hoffen, dass die dann weniger unvorbereitet auf den Angriff sind wie die Isländer, wo der Trojaner mittlerweile massenhaft zugeschlagen hat.
Übrigens: wer die SMS erhält sollte sie einfach löschen. Eine Berechnung der angedrohten zwei Dollar pro Tag erfolgt nämlich nicht, somit ist die Kurznachricht an sich harmlos.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang