KONSUMER | News & Ratgeber

Main Menu

AbzockeAbzockerAllgemeinEmailFalleHinweisInternetNachrichtenNeppNepp, AbzockeNewsSicherheitSonstigesTippTippsVerbraucherWarnungen
Der WM-Trojaner ist entschlüsselt!

Der WM-Trojaner ist entschlüsselt!

26. 06. 2010

Der Übertragungs-Code eines fiesen Trojaners ist endlich entschlüsselt, mit dem die seit neun Jahren berüchtigte Kiew-Bande in ihrem neuesten Cyberangriff offensichtlich eine große Terrorwelle zum Endspiel der Fußball-WM am 11. Juli 2010 in Johannesburg vorbereitet.

Seit dem Eröffnungsspiel am 11. Juni 2010 in Johannesburg  sind nach Erkenntnissen der Berliner Software-Schmiede GTChat-Developer.de bereits zwei Millionen Computer weltweit gehackt und mit dem “WM-Trojaner” infiziert worden.

Alle Trojaner könnten per Knopfdruck gleichzeitig aktiviert werden und zum Beispiel weltweit alle Wettbüros gleichzeitig zum erliegen bringen oder noch Schlimmeres.

Sven Schmidt von GTChat-Developer: Wir fanden heraus, dass es sich um einen clever getarnten JavaScript-Schadstoff-Code handelt. Wir konnten noch nicht herausfinden, wie der Code in unser Internet-Portal hineingelangen konnte. Der Trojaner tarnt sich als fiktives Java-Script, also als Programm, mit dem man Bilder erscheinen oder verschwinden lassen kann oder mit denen man Popup-Fenster auf- und zumacht.

Allerdings macht das der Trojaner nicht, weil er kein echtes Java-Script ist. Es ist lediglich ein JavaScript-Algorythmus, der einen Backdoor-Trojaner im Hintergrund herunterlädt, der auf einen Befehl von außen von einen Kontroll-Server wartet. Wenn der Backdoor-Trojaner zum Leben erweckt wird, sendet er im Verbund mit anderen Java-Script-Trojanern Massenmüllanfragen und legt andere große Rechenzentren oder Server lahm. Und wenn der Auftrag erfüllt ist, dann spioniert der Trojaner noch alle Daten aus.

Bei der Code-Entschlüsselung sind wir auf eine IP-Adressen-Liste gestoßen und haben den Transmitter-Server zurückverfolgt. Und sind auf Kiew in der Ukraine gestoßen. Die Nummer lautet 92.60.177.235. Sie löst sich im ISP W-net Kiew auf. Dieses Rechenzentrum in Kiew ist eine Hackerhochburg, die seit neun Jahren für traurige Schalgzeilen sorgt.

Die Palette reicht von einer Millionen geklauten Kreditkartennummern in den USA im Jahre 2001 über die Vireninfizierung britischer U-Boote am 24. Januar 2009 bis hin zum mehrfachen Entschlüsseln des deutschen Bezahlfernsehsenders Premiere/Sky zum Beispiel am 24. März 2009. Mit den Schwarzseh-Karten und -boxen gab es einen regen Handel. Und nun die Fußball-WM.

Es ist genau die dieselbe Javascript-Schadstoff-Software, wie sie seit Beginn der WM in einer Massenwelle über E-Mails und Soziale Netzwerke wie Twitter, Xing oder Facebook verbreitet werden. Die Infizierung von Internetportalen ist nun der dritte Verbreitungsweg, wo wir aber den genauen Einfall noch nicht gefunden haben.

Öffnet ein Anwender ein Dokument, läuft unsichtbar für den Nutzer automatisch der JavaScript-Code ab. Dieses Skript leitet den Browser des Opfers ohne dessen Zutun auf einen bösartigen Webserver um. Besucht ein Surfer eine derart verseuchte Webseite wird eine Datei namens 1.js heruntergeladen und der Benutzer zu 1.htm umgeleitet. Hier geht es dann gezielt um die Ausnutzung der VML-Schwachstelle MS07-004 im Windows-Internetexplorer.

An Sozialnetzwerk-Nutzer richtet sich ein ein Beitrag, der den Twitter-Anwendern ein Werkzeug verspricht, mit dem sich die einzelnen Fußballspiele verfolgen lassen. Wer jedoch auf den im Beitrag eingebetteten Link klickt, lädt nicht das versprochene Tool, sondern die Schadsoftware herunter, die botnet-Angriffe aufführt, alle Eingaben des Twitterers inklusive Benutzernamen und Kennwörter stiehlt und außerdem eigene Prozesse und Dateien versteckt.

Gibt es einen Schutz dagegen?

Man kann zum Beispiel den Code per Hand löschen. Aber das ist zu mühselig. Ich empfehle bei Benutzung von Firefox die Erweiterung (Addon) noscript von der Internetseite von Firefox zu installieren. Benutzern von Microsoft-Internet-Explorer empfehle ich, Javascript zu deaktivieren und sich die neueste Version des IE von der Microsoft-Internetseite herunterzuladen.

Allen Server-Betreibern empfehle ich ein Update der Script-Sprache PHP (Hypertext Pre Processor) und den Einsatz des sicheren suPHP. Allen empfehle ich, sich die aktuelle Virensignatur ihres Anbieters herunterzuladen.

McAFee hat am 24. Juni 2010  einen effektiven Filter herausgebracht, der den Kiewer Trojaner draußen lässt. Es wäre außerdem ratsam, seinen PC auf Trojaner und Malware zu untersuchen, zum Beipspiel mit Spybot Search and Destroy oder Trojan Hunter oder Malewarebytes Anti-Malware . Aller drei findet man kostenlos zum Herunterladen im Internet.”

Mit freundlicher Genehmigung: GoMoPa

TagsAbzockeBackdoor-Trojanerbotnet-AngriffeComputerCyberangriffDatenFacebookGeldGewinnGomopaGTChat-Developer.deInfoInternetInternetabzockeKonsumerkonsumer.infoKostenfalleMalewarebytes Anti-MalwareNeppNewsSonstigesSpybot SearchTerrorwelleTippTippsTricksTrojan HunterTrojanerTwitterÜbertragungs-CodeVerbraucherWarnungWeltmeisterschaftWM EndspielXing