• Nachdem der ActiveScan von Panda Software einen schadhaften Code zum Ausspionieren und Entwenden von Daten befallener Rechner entdeckt hat, ist ein entsprechendes Spionageprogramm aufgetaucht.
• Hacker können das komplexe Programm zur Erstellung von maßgefertigten Trojanern für 990 US-Dollar über eine Webseite kaufen.
• Obwohl der Trojaner Antivirenlösungen deaktiviert, konnten ihn die Panda Software Produkte mit integrierten TruPrevent Technologien als erste Sicherheitslösung aufdecken und eliminieren.
Duisburg, 24.02.2006
Das Stehlen persönlicher User Daten von infizierten Rechnern ist eine der Hauptziele des Trojaners Trj/Briz.A. Besonders auffällig ist er aber nicht nur, weil er Bankgeheimnisse entwendet, sondern weil sein Erfinder den schadhaften Code nach den individuellen Wünschen seiner „Kunden“ kreiert. Trj/Briz.A ist das bis dato komplexeste Malware-Exemplar, das von Hackern zum Zweck einer finanziellen Profilierung entwickelt wurde.
Das Spionageprogramm zum Entwickeln von „maßgeschneiderten“ Trojanern gibt Hackern die Möglichkeit einen Schädling zu generieren, der sich unbemerkt in Rechner einschleust. Sollte der Trojaner von einer Sicherheitslösung entdeckt werden, ändert sich die Host Datei – das garantiert der Erfinder des Programms. Antivirenlösungen sollen aus diesem Grund auch nicht in der Lage sein den Eindringling zu erkennen und auf die zugehörige Webseite Zugriff zu bekommen. Trotz dieser Maßnahmen konnten jedoch die Panda Produkte mit dem integrierten Intrusion Prevention System „ TruPrevent“ den Trojaner anhand einer verhaltensbasierten Analyse ohne vorherige Aktualisierung als erste Sicherheitslösung blocken.
Hacker, die das Spionageprogramm erwerben, erhalten als Bonus ein komplexes System, mit dem sie den Status der Infektion ihres „Schützlings“ überprüfen können. Über dieses Kontroll-System haben sie auch Zugriff zu Daten wie IP Adressen, Passwörtern und sogar zum Standortdes Rechners. Zudem sammelt der Trojaner Informationen von Programmen wie Outlook, Eudora und The Bat und schaltet Services vom Windows Security Center und vom Shared Internet Access aus. Um sich als Internet Explorer zu tarnen, trägt die Datei, welche Trj/Briz.A transportiert, den Namen „iexplore.exe“.
„Die Motivation von Malware-Erfindern hat sich grundlegend geändert. Es steht nicht mehr der Spaß, sondern wirtschaftliche Gründe im Vordergrund. Deshalb versuchen sie ihre Erfindungen unentdeckt in fremde Systeme einzuschleusen. Um einer solchen Bedrohung gerecht zu werden, sind Technologien wie TruPrevent, die Trj/Briz.A blocken konnten, notwendig“, erklärt Luis Corrosn, Direktor der PandaLabs.
Gemeinsam mit anderen Sicherheitsunternehmen arbeiten die PandaLabs momentan daran, die entsprechenden Webseiten zu analysieren.