« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Vorgebliche Überweisung enthält Rootkit  (Gelesen 409 mal)

0 Mitglieder und 3 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
Vorgebliche Überweisung enthält Rootkit
« am: 26 Mai, 2006, 09:18 »
In Deutschland und Österreich werden Mails verbreitet, in denen ein Trojanisches Pferd steckt.

Seit Mittwoch, 24. Mai, werden Spam-artig Mails verschickt, mit denen ein Rootkit-bewehrtes Trojanisches Pferd verbreitet wird. Die erste Meldung über den Erhalt einer solchen Mail ging bei Hoax-Info.de aus Österreich ein. Einige Stunden später trafen mehrere dieser Mails direkt ein, die meisten davon kamen aus China.

Die Mails tragen einen Betreff wie "Bankuberweisung erledigt!", "Betrag uberwiesen" oder "Gelduberweisung an Dich!". Der Text lautet in allen bislang bekannten Fällen:

"Hallo, wie gestern abgesprochen habe ich den Betrag 1967, 83 auf
dein Konto überwiesen. Ich denke, das Geld muss schon übermorgen
bei Dir sein. Im Anhang habe ich den gescannten Nachweis angeheftet.
Ich hoffe, daß alle Daten korrekt sind. Bitte gebe mir kurz Bescheid."

Der Mail-Anhang ist ein ZIP-Archiv mit dem Namen "hc.zip", das ein Programm mit dem Dateinamen "hc.exe" (21 KB) enthält. Dabei handelt es sich um ein Trojanisches Pferd mit Backdoor-Funktionalität und Rootkit-Tarnung. Das Rootkit aus der Haxdoor-Familie steckt in der Datei "nkgfs.sys" im System-Verzeichnis. Es wird als neuer Dienst mit dem Bezeichner "NK45 file system driver" installiert.

Die Malware sperrt den Zugriff auf die Websites diverser Antivirus-Hersteller und trickst die Firewall von Windows XP aus, indem sie sich als zugelassene Anwendung in die Registry einträgt. Der Schädling injiziert seinen Code in die laufenden Prozesse von "explorer.exe" und "winlogon.exe", wodurch er auch verschiedene andere Personal Firewalls umgehen kann.

Der Schädling nimmt Kontakt zu einem Server in China auf und meldet auf diese Weise die erfolgreiche Infektion des Rechners. Er ermöglicht einem entfernten Angreifer den Zugriff auf den kompromittierten PC, indem er einen Server auf dem Port 20480 anspricht. Dieser Angreifer erhält so praktisch volle Kontrolle über den PC und kann zum Beispiel Dateien herunter laden, Programme ausführen, Passwörter ausspionieren und dergleichen mehr.

Quelle : www.pcwelt.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »