Ein neuer Trojaner stiehlt Informationen

Originalartikel von Karl Dominguez (Threat Response Engineer bei Trend Micro)

Während ZeuS derzeit die ganze Aufmerksamkeit der Branche auf sich zieht, hat sich still und leise eine neue Spyware in der Szene breit gemacht. CARBERP ist eine neue Trojaner-Familie, die wahrscheinlich als Konkurrent zur beherrschenden ZeuS-Schadsoftware entwickelt wurde.

TROJ_CARBERP.A nutzt eine raffinierte Technik, um der Entdeckung zu entgehen. Der Schädling hinterlässt absichtlich eine Kopie seiner selbst und seiner Komponentendateien in Verzeichnissen, die keine Administratorenrechte benötigen. Damit umgeht die Malware Windows 7 und Vistas Account Control (UAC), und die Routinen werden von den neueren Windows-Versionen nicht entdeckt. Genauer gesagt, setzt er die Dateien in die Ordner Startup und Application Data. Weder erzeugt noch modifiziert er dabei Registry-Einträge. Weil Dateien im Startup-Ordner auch von weniger versierten Nutzern leicht entdeckt werden, nutzt die Malware zwei Schnittstellen, um sich, die Komponentendateien und den Thread zu verbergen.

Die tatsächliche Gefahr, die von CARBERP ausgeht, besteht darin, dass der Schädling Netzwerk-APIs in WININET.DLL verankert, um die Browsing-Aktivitäten des Opfersystems zu überwachen. Darüber hinaus kontaktiert der Schädling seinen C&C-Server. Dort lädt er eine Konfigurationsdatei herunter, schickt eine Liste der auf dem betroffenen System laufenden Prozesse und nimmt verschiedene Befehle entgegen. Mit diesen Fähigkeiten können die Cyberkriminellen jede gewünschte Information stehlen.

Derzeit verbindet sich CARBERP mit bereits nicht mehr zugänglichen Websites und kann somit die Routinen nicht ablaufen lassen. Die Anwender von Trend Micro-Produkten sind gegen diese Angriffe geschützt, denn das Smart Protection Network erkennt und blockiert den Trojaner, bevor er die Kundensysteme infizieren kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*