- Allem Anschein nach werden wieder Trojaner á la carte übers Internet verkauft
- Gemeinsame Merkmale der Schädlinge weisen auf die gleichen Programmierer hin
- Intrusion Prevention System “TruPrevent“ spürt Briz.F auf und vermeidet eine Infizierung
Eine neue, maßgefertigte Version des Briz Trojaners macht sich momentan auf die illegale Suche nach geheimen Zugangsberechtigungen und vertraulichen Daten. Der listige Trojaner lockt gutgläubige Nutzer auf angeblich erotische Webseiten und knüpft ihnen dann ihre Online Bankdaten ab. Besonders auffällig ist die Ähnlichkeit in den Merkmalen und der Vorgehensweise mit dem vor kurzem entdeckten Schädling Briz.A, der auf mehreren Webseiten auf individuelle Wünsche angepasst und zum Verkauf angeboten wurde. Dank der proaktiven Technologien von TruPrevent, die Briz.A sofort aufgespürt und geblockt haben, und der schnellen Auswertung seines Codes in den PandaLabs, konnten die entsprechenden Seiten gesperrt werden. „Die charakteristischen Komponenten von Briz.F weisen darauf hin, dass dieselben Programmierer nun wahrscheinlich mit der gleichen Methode und einer modifizierten Version profitieren möchten“, erklärt Luis Corrons, Direktor der PandaLabs.
Die Vorgehensweise von Briz.F ist komplex und raffiniert. Der Angriff beginnt automatisch, wenn der User eine der angeblich erotischen Webseiten anklickt. Zur Installation der ersten Briz Datei „iexplore.exe“ nutzt der Schädling vorhandene Sicherheitslücken. Er kann sich aber auch durch E-Mails, aus dem Internet geladene Dateien, via P2P und gemeinsame Dateizugriffe auf Netzwerke verbreiten. Die erste Komponente von Briz.F, „iexplore.exe“, dient lediglich zum Auskundschaften der System-Umgebung. Wenn der User eine Internet-Verbindung herstellt, wird eine weitere Datei, „ieschedule.exe“ aufs System geladen, welche die Windows Security Center Services abschaltet und die vom Hacker benötigten Informationen (Name des Anwenders, IP Adresse, Standpunkt, etc) sammelt. Gleichzeitig verschafft sich die nächste schädliche Datei „smss.exe“ Zugang zum Computer, um die Host Datei zu ändern und den Abbruch der Aktion durch ein Sicherheitsprogramm zu verhindern. Letztendlich erfolgt die für den User schädlichste Ausführung: Die Datei „ieredir.exe“ wird installiert, um den Eigentümer des befallenen Rechners auf eine getürkte Bankseite umzuleiten und seine Zugangsdaten mitzuprotokollieren sowie Informationen vom Windows Protected Storage und den E-Mail Programmen Outlook, Eudora und The Bat an den Programmierer zu versenden.
Nachdem sie ihren Zweck erfüllt haben, zerstören sich die meisten dieser Dateien selbständig. Auf diese Weise wird die Ermittlung der Briz.F Opfer erheblich erschwert. „Da sich die neue Briz Version nach getaner Arbeit wieder selbst vernichtet, wird es für traditionelle Antivirenhersteller kompliziert, Gegenmaßnahmen zu ergreifen, ohne den entsprechenden Code zu untersuchen. Eine sofortige Analyse durch proaktive Technologien ist notwendig. Das Intrusion Prevention System „TruPrevent“ von Panda Software erkennt unbekannte Malware anhand ihres Verhaltens und konnte auf diese Weise den Briz.F Trojaner ohne vorherige Aktualisierung direkt aufspüren und blocken“, so Corrons.
- Gemeinsame Merkmale der Schädlinge weisen auf die gleichen Programmierer hin
- Intrusion Prevention System “TruPrevent“ spürt Briz.F auf und vermeidet eine Infizierung
Eine neue, maßgefertigte Version des Briz Trojaners macht sich momentan auf die illegale Suche nach geheimen Zugangsberechtigungen und vertraulichen Daten. Der listige Trojaner lockt gutgläubige Nutzer auf angeblich erotische Webseiten und knüpft ihnen dann ihre Online Bankdaten ab. Besonders auffällig ist die Ähnlichkeit in den Merkmalen und der Vorgehensweise mit dem vor kurzem entdeckten Schädling Briz.A, der auf mehreren Webseiten auf individuelle Wünsche angepasst und zum Verkauf angeboten wurde. Dank der proaktiven Technologien von TruPrevent, die Briz.A sofort aufgespürt und geblockt haben, und der schnellen Auswertung seines Codes in den PandaLabs, konnten die entsprechenden Seiten gesperrt werden. „Die charakteristischen Komponenten von Briz.F weisen darauf hin, dass dieselben Programmierer nun wahrscheinlich mit der gleichen Methode und einer modifizierten Version profitieren möchten“, erklärt Luis Corrons, Direktor der PandaLabs.
Die Vorgehensweise von Briz.F ist komplex und raffiniert. Der Angriff beginnt automatisch, wenn der User eine der angeblich erotischen Webseiten anklickt. Zur Installation der ersten Briz Datei „iexplore.exe“ nutzt der Schädling vorhandene Sicherheitslücken. Er kann sich aber auch durch E-Mails, aus dem Internet geladene Dateien, via P2P und gemeinsame Dateizugriffe auf Netzwerke verbreiten. Die erste Komponente von Briz.F, „iexplore.exe“, dient lediglich zum Auskundschaften der System-Umgebung. Wenn der User eine Internet-Verbindung herstellt, wird eine weitere Datei, „ieschedule.exe“ aufs System geladen, welche die Windows Security Center Services abschaltet und die vom Hacker benötigten Informationen (Name des Anwenders, IP Adresse, Standpunkt, etc) sammelt. Gleichzeitig verschafft sich die nächste schädliche Datei „smss.exe“ Zugang zum Computer, um die Host Datei zu ändern und den Abbruch der Aktion durch ein Sicherheitsprogramm zu verhindern. Letztendlich erfolgt die für den User schädlichste Ausführung: Die Datei „ieredir.exe“ wird installiert, um den Eigentümer des befallenen Rechners auf eine getürkte Bankseite umzuleiten und seine Zugangsdaten mitzuprotokollieren sowie Informationen vom Windows Protected Storage und den E-Mail Programmen Outlook, Eudora und The Bat an den Programmierer zu versenden.
Nachdem sie ihren Zweck erfüllt haben, zerstören sich die meisten dieser Dateien selbständig. Auf diese Weise wird die Ermittlung der Briz.F Opfer erheblich erschwert. „Da sich die neue Briz Version nach getaner Arbeit wieder selbst vernichtet, wird es für traditionelle Antivirenhersteller kompliziert, Gegenmaßnahmen zu ergreifen, ohne den entsprechenden Code zu untersuchen. Eine sofortige Analyse durch proaktive Technologien ist notwendig. Das Intrusion Prevention System „TruPrevent“ von Panda Software erkennt unbekannte Malware anhand ihres Verhaltens und konnte auf diese Weise den Briz.F Trojaner ohne vorherige Aktualisierung direkt aufspüren und blocken“, so Corrons.
