Das Internet Storm Center hat einen besonders heimtückischen
Trojaner entdeckt, der über eine Schwachstelle im Internet Explorer
installiert wird und Online-Banking-Daten ausspioniert.
Es handelt sich um ein sogenanntes
Browser Helper Object (BHO). Analog zu den
Browser-Erweiterungen bei Mozilla erweitern BHOs den Internet Explorer
um zusätzliche Funktionen wie Toolbars. Sie laufen innerhalb des
IE-Prozesses und haben Zugang zu allen Ereignissen. Dieses spezielle
BHO nutzt diesen Zugang, um gezielt Online-Banking auszuspionieren.
Dazu klinkt es sich auch in verschlüsselte https-Verbindungen ein und
greift die Daten im Klartext ab. Auf der vom ISC extrahierten Liste mit
49 ausspionierten Banken finden sich unter anderem auch
.deutsche-bank.de .citibank.de .sparkasse-banking.de banking.lbbw.de dit-online.de .dab-bank.com
Die geklauten Daten enthalten Benutzerdaten inklusive Passwörtern.
Das Trojaner-BHO sendet sie verschlüsselt an einen externen Server.
Durch die Verschlüsselung umgeht es einfache Alarmmechanismen wie die
von ZoneAlarm, die verhindern sollen, dass Passwörter ohne Wissen des
Anwenders verschickt werden.
Festzustellen, ob auf dem eigenen Rechner BHOs installiert sind, ist
gar nicht so einfach. Denn die Verwaltung von Browser-Erweiterungen ist
im Internet Explorer bisher sehr unterentwickelt. Erst zusätzliche
Tools wie BHODemon
verschaffen einen Überblick über die aktuell installierten BHOs.
Bisher gibt es keine Anzeichen, dass dieser BHO-Trojaner bereits
große Verbreitung hat. Alarmierend ist jedoch die Tatsache, dass die
Schwachstellen des Internet Explorer immer gezielter und raffinierter
ausgenutzt werden.
Sicheres surfen wünscht
Wolf Weber
(01.07.04-12:25)
|