« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Vorgebliches Symantec-Update spioniert Bankdaten aus  (Gelesen 442 mal)

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Vorgebliches Symantec-Update spioniert Bankdaten aus
« am: 22 August, 2006, 17:55 »
Auf einer nachgeahmten Symantec-Seite wird ein Trojanisches Pferd als Antivirus-Update angeboten.

Auf einer nachgeahmten Symantec-Seite wird ein Trojanisches Pferd als Antivirus-Update angeboten.

Immer wieder werden Internet-Nutzer per Mail oder Instant Messenger sowie auf Web-Seiten auf angebliche Aktualisierungen für Windows oder Sicherheitsprogramme hingewiesen, um sie in die Malware-Falle zu locken. Der neueste Fall betrifft Symantec - er spielt zwar in Brasilien, kann sich jedoch in gleicher oder ähnlicher Weise überall auf der Welt ereignen.

Internet-Nutzer werden auf eine derzeit noch immer erreichbare Web-Seite in portugiesischer Sprache gelockt, die ähnlich wie eine Phishing-Seite das Erscheinungsbild der Symantec-Website imitiert. Dort soll es ein Update für den "Symantec Security Check" geben, den sich der Besucher herunter laden soll. Dieser kommt jedoch kaum dazu die Seite zu lesen, denn schon erscheint ein Download-Dialog, der zum Speichern einer Datei auffordert.

Die dem Anwender derart aufgenötigte Datei heißt "latest_newupdate.exe" und ist 615.424 Byte groß. Die Eigenschaften Datei zeigen ein Dateisymbol, das dem Symantec-Logo ähnelt und weisen sie als "Symantec Antivirus" mit der Versionsnummer 1.0.0.0 aus.

Wird das vermeintliche Update ausgeführt, legt es die Dateien "Winuser.exe" und "Winuser.ini" im Windows-Verzeichnis an. Damit der Schädling bei jedem Windows-Start geladen wird, legt er einen Registry-Eintrag an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"" = "%Windir%\Winuser.exe"

Dabei steht "%Windir%" für das Installationsverzeichnis von Windows, also meist C:\Windows oder C:\Winnt. Ferner sendet der Schädling eine Mail mit Informationen über den verseuchten Computer an eine Gmail-Adresse.

Die von Symantec "Trojan.Bakloma" getaufte Malware überwacht die Titel der im Internet Explorer geladenen Seiten. Stimmt der Titel mit einem im Schädling vordefinierten überein, blendet er eine Eingabemaske ein und sendet die eingegebenen Daten per Mail an die Gmail-Adresse. Anschliessend beendet sich die Malware selbst.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »