26.03.2015 – Kategorie: IT

Eset: neuer Schädling lädt Banking-Trojaner nach

eset_bratislava_empfang

Der Security-Software-Hersteller Eset warnt vor einer Schadsoftware, die sich gerade in Deutschland verbreitet. Der „Waski“ genannte Trojaner (Win32/TrojanDownloader.Waski) erreicht das Opfer in der Regel per E-Mail und lädt beim Ausführen der angehängten ZIP-Datei eine Banking-Malware (Win32/Batdill) aus dem Internet.

Der Security-Software-Hersteller Eset warnt vor einer Schadsoftware, die sich gerade in Deutschland verbreitet. Der „Waski“ genannte Trojaner (Win32/TrojanDownloader.Waski) erreicht das Opfer in der Regel per E-Mail und lädt beim Ausführen der angehängten ZIP-Datei eine Banking-Malware (Win32/Batdill) aus dem Internet. Eset rät auf seinem Security-Blog WeLiveSecurity dringend davon ab, Datei-Anhänge von E-Mails blind zu öffnen.

Bedrohung bekannt seit 2013

Eine erste Version von Waski wurde bereits im November 2013 entdeckt, verbreitet sich ganz aktuell aber wie ein Lauffeuer auf deutschen Rechnern. Seit Anfang 2015 zeigt das ESET VirusRadar in der Bundesrepublik eine signifikant steigende Infektionsrate, die sich derzeit entlang der Vier-Prozent-Marke bewegt. Dieser rasante Anstieg verleitete die Forscher des ESET Virenlabors in Bratislava jetzt zu einer akuten Warnung. Zudem bringt die Ausführung von Waski weitere Infektionen mit sich.

Verpackt in einer Spam-Mail

Der Waski-Trojaner wird weniger für gezielte Angriffe genutzt. Vielmehr findet die Schadsoftware über millionenfach versendete, ungezielte Spam-Mails seinen Weg zu den Opfern. Oft beinhalten solche Spam-Mails lediglich einen Satz – und eben den als ZIP-Datei getarnten Trojaner im Anhang. Das Anschreiben ist dabei in englischer Sprache verfasst. Wird Waski ausgeführt, lädt es weitere Schadsoftware aus dem Internet. Bei den von Eset untersuchten Exemplaren handelte es sich dabei um den Banking-Trojaner „Battdil“ (Win32/Battdil bzw. Win64/Battdil).

Sobald Waski gestartet wird, besorgt sich die Schadsoftware zunächst die öffentliche IP-Adresse des Opfers. Dazu stellt Waski eine Verbindung zur Domain checkip.dyndns.com her und erhält als Antwort die IP-Adresse. Mit deren Hilfe wird anschließend eine eindeutige Identifikationsnummer berechnet, die zusammen mit anderen Informationen des Opfers (Computername, Windows Version, Service Pack Nummer) an den Waski Command-and-Control (C&C) Server geschickt wird.

Dann lädt Waski eine verschlüsselte Datei herunter (in der Regel von einer kompromittierten Webseite),  die die Dateiendung PDF besitzt. Hierbei handelt es sich aber nicht um eine echte PDF-Datei, sondern um einen Zusammenschluss zweier Dateien: der Schadsoftware Win32/Battdil und einer regulären PDF-Datei. Danach kontaktiert Waski erneut seinen C&C-Server und meldet die erfolgreiche Infektion.

Battdil klaut Online-Banking-Logins und Kreditkarten-PINs

Battdil ist dazu in der Lage, nach erfolgreicher Infektion eines Rechners sensible Login-Daten für das Online-Banking abzufangen. Dabei ist es ganz egal, ob der Internet Explorer, Firefox, Chrome oder ein anderer Browser genutzt wird. Hinzu kommt, dass Battdil dazu fähig ist, echt wirkende, aber gefälschte Banking-Websites einzuspielen, auf der die PIN-Nummer der Kreditkarte abgefragt und im Anschluss an die Betrüger hinter Battdil geschickt wird.

Eset mahnt deutsche Internetnutzer dringend zur Vorsicht in Sachen E-Mail. Unbekannte Dateianhänge sollten niemals blind geöffnet werden, eine aktuelle Security-Software wie ESET NOD32 Antivirus oder ESET Smart Security ist Pflicht und sollte durch Updates stets aktuell gehalten werden. (sg)

 

 


Teilen Sie die Meldung „Eset: neuer Schädling lädt Banking-Trojaner nach“ mit Ihren Kontakten:


Scroll to Top