Die Internetnutzer sehen sich immer komplexeren Bedrohungen ausgesetzt. Insbesondere auf die Passwörter von Online-Banking-Konten haben es kriminelle Malware-Autoren häufig abgesehen. Den aktuell im Umlauf befindlichen Trojaner identifizierte Bitdefender unter dem Namen Trojan.Downloader.Java.OpenConnection.BA. Dieser Schädling löst über komplizierte Umwege einen Serverbefall aus. Seine Herkunft ist daher für eine herkömmliche Antivirensoftware in der Regel nur schwer nachzuvollziehen.

Trojaner startet Kettenreaktion

Die Kettenreaktion startet mit der Infektion des Rechners mittels Java Applets, die sich auf diversen populären Internetseiten verstecken. Getarnt als Adobe Flash Player, fügen sie zu sauberen HTML-Dateien ihre bösartigen HTMLs hinzu. Dieser von den „Cyber-Betrügern“ angefügte Hypertext infiziert den Server der Webseitennutzer mit dem Trojaner. Das Applet lädt anschließend die Datei Trojan.Generic.KD.218227 auf den Rechner herunter. Sie wird dort unter dem Namen temp_flash_file.phx gespeichert. Die beim Nutzer platzierte Datei downloadet und installiert einen Banker-Trojaner. Dessen Haupteigenschaft ist es, Kennwörter für Web-Banking zu stehlen. Die Kriminellen haben dann freien Zugriff auf die Bankkonten der Nutzer. Der Banker-Trojaner stellt sich für den User als Login-Fenster dar und bittet ihn, seine Daten anzugeben. Die persönlichen Eingaben werden anschließend von den Betrügern an einen C&C Server gesendet und eventuell für weitere Malware-Angriffe benutzt. Der besagte Banker erstellt im Ordner „%Start Menu%\Programs\Startup“ eine Verknüpfung zu sich selbst. Durch diese wird der Trojaner bei jedem Boot automatisch gestartet. Darüber hinaus arbeitet er mit einprogrammierten Listen, die ihm mitteilen, welche „digitalen Schadstoffe“ als nächstes zu laden sind.

Um diese Art des Trojaner-Befalls zu vermeiden, ist der Einsatz einer professionellen, sich automatisch aktualisierenden Antiviren-Lösung inklusive Firewall notwendig.

Quelle: Bitdefender GmbH