Trend Micro Virenreport: Keylogger stiehlt Anwenderdaten

(openPR) David Kopp, Leiter der TrendLabs EMEA, kommentiert aktuelle Entwicklungen bei Viren und Würmern

Trend Micro (Nasdaq: TMIC, TSE: 4704) hat aktuelle Entwicklungen der Malware-Szene analysiert und stellt die Bedrohungen vor: Mit TSPY_BZUB.AE verbreitet sich derzeit eine Spyware per Spam-Mail, die den Anwender detailliert auszuspionieren versucht. Kontodaten, Passwörter etc. werden per Keylogger aufgezeichnet und für den Versand vorbereitet. TSPY_BZUB.AE ist ein weiterer Beleg für die wachsende Brisanz der Spyware-Problematik. Zudem stehen die populären Anwendungen des Microsoft Office nach einer Periode relativer Ruhe jetzt wieder im Fadenkreuz der Malware-Programmierer.

Aktuelle Bedrohung: TSPY_BZUB.AE protokolliert Tastatureingaben
Die vor kurzem identifizierte Spyware TSPY_BZUB.AE gelangt auf den Computer als infizierter Anhang einer Spam-Mail oder als Download von Malicious Websites. Manchmal wird die Spyware auch von anderer Malware auf das System transportiert und dort abgelegt. Unter Microsoft Windows 98, ME, NT, 2000, XP und Server 2003 installiert sich TSPY_BZUB.AE unter einem Zufallsnamen und ändert die Registry, um bei jedem Systemstart ausgeführt zu werden. Ein Keylogger protokolliert die Tastatureingaben des Anwenders und sammelt sensible Daten in einer Datei. Gesucht wird vor allem nach Autocomplete-Informationen, Computer ID, Host-Name, IP- und Gateway-Adresse, Betriebssystem sowie besuchten Websites, Login-Namen und Passwörtern. Wenn TSPY_BZUB.AE mit diesem Vorhaben Erfolg hat, ist der Schaden für den Anwender aller Voraussicht nach immens.

Retro-Trend hält an: Office-Software im Visier
Im vergangenen Monat wurde erneut zahlreiche Malware entdeckt, die gezielt Schwachstellen in Microsoft Word oder PowerPoint angreift. Dazu gehört unter anderem die TROJ_MDROPPER Familie, die sich vorwiegend über Spam und den Versand infizierter DOC-Dateien verbreitet. Nach dem Öffnen der Datei in Word wird eine Backdoor (TROJ_MDROPPER.AC) auf dem System abgelegt. Unter Umständen erfolgt die Infektion auch über PowerPoint und die bekannte Schwachstelle MS06-12. Auf diesem Weg wird ein weiterer Trojaner namens TROJ_SMALL.CMZ eingeschleust. Trend Micro rät allen Office-Anwendern dringend, keine Dateien unbekannter Herkunft zu öffnen und die Sicherheitseinstellungen für Makros auf „Hoch“ zu setzen.

Steigt Bedrohung durch Bot-Netzwerke?
Einige Sicherheitsexperten haben in letzter Zeit die Befürchtung geäußert, dass bekannte Schwachstellen in Applikationen und Betriebssystemen demnächst mit einer neuen Technik angegriffen werden. Viele Bot-Programmierer - so die Vermutung - arbeiten bereits an einem Modul, mit dem der Code zur Ausnutzung der Lücken (Exploit) jedes Mal variiert wird. Die meisten Intrusion Detection Systeme erkennen einen Angriff aber nur, wenn der Exploit Code unverändert bleibt. Eine sogenannte polymorphe Shellcode Attacke könnte also die Scanner umgehen. Bislang handelt es sich um eine rein theoretische Gefahr, trotzdem arbeitet Trend Micro bereits an Gegenmaßnahmen, wie der Suche nach Bot-Würmern in unterschiedlich komprimierten Daten.