Spuren hinterlassen

Wir haben es regelmäßig mit per IM verbreiteten Trojanern zu tun. Um sie unter die Leute zu bringen, kommen verschiedene Methoden zum Einsatz, angefangen bei den üblichen Aufforderungen wie etwa „Hi, guck Dir meine Fotos an!“ über Links, die angeblich auf nützliche Tools verweisen, bis hin zum Social Engineering, das mit den Ängsten der Leute spielt:

[Übersetzung: Guck Dir mal an, was hier über Dich steht]

Selbstverständlich sind die verlinkten Pages mit Exploits verseucht, die den Opfercomputer in ein Malware-Panoptikum verwandeln.

Derartige Mailings sind nichts Neues. Heute haben wir allerdings ein weiteres Exemplar eines Mailings erhalten, das seit ca. drei Wochen die Runde macht. Täglich wird Millionen von ICQ-Usern die folgende Nachricht geschickt:

Mancher User erhält diesen Link zwei Mal pro Tag – je nachdem wie schnell die Antivirus-Hersteller auf die neuesten Schadprogramme reagieren, die sich unter dem Link verbergen. Ist der Anwender unvorsichtig oder naiv genug, um auf den Link zu klicken, wird der Computer mit einer Variante des hinlänglich bekannten Trojan-PSW.Win32.LdPinch infiziert.

Bei genauerer Untersuchung der verschiedenen zum Download angebotenen Varianten, haben wir Folgendes festgestellt:

  1. Hier wird eine alte Version von Pinch verwendet, die kostenlos verfügbar ist. Bei jeder neuen Mailing-Welle wird das schädliche Programm lediglich mit einem anderen Packer komprimiert.
  2. Zunächst verschickte Pinch seine Log-Dateien über öffentliche SMTP-Server, ging dann aber dazu über, ein Script-Gate auf einer Hosting-Site zu benutzen.
  3. Die E-Mailadresse des Empfängers ist in allen Fällen gleich.

Pinch ist ein echter Allesfresser – er reißt sich alles unter den Nagel, was es auf dem Opferrechner zu holen gibt: die Windows-Lizenznummer, Systeminformationen, eine Liste der installierten Programme, Passwörter für ICQ, E-Mail und FTP sowie die im Windows Protected Storage gespeicherten Passwörter.

An besonders produktiven Tagen konnte die Person hinter den Massenmailings bis zu hundert Logs einkassieren. In dem E-Store des Hackers wird eine ganze Sammlung von ICQ-Nummern zum Verkauf angeboten, die höchstwahrscheinlich von den Opfercomputern gestohlen wurden. Dieser Mensch hat es ganz offensichtlich aufs Geld abgesehen, was keine große Überraschung ist, wenn man davon ausgeht, dass die Virenautoren die Grenze zwischen einfacher Belästigung der User und eindeutig krimineller Aktivität bereits überschritten haben. Dem Initiator der Mailings ist jedoch anscheinend entgangen, dass eine gründliche Analyse von Pinch ein Fülle von Informationen über den Autor liefert, einschließlich Name, Geburtsdatum, Wohnort, Handynummer und vielen anderen persönlichen Daten.

Wer sich dem Kampf gegen die Cyberkriminalität verschrieben hat, hat also Grund zur Freude – wer in illegale Aktivität verwickelt ist, dagegen weniger.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.