Ein Trojaner leitet Aufrufe von Banken-Websites auf wechselnde Phishing-Server
um, indem er die Datei HOSTS manipuliert und so eine gefälschte
Seite von einem Phishing-Server lädt. Die Websense
Security Labs berichten über die Entdeckung dieses Schädlings.
Der Schädling trägt in der Datei "HOSTS" mehr
als 100 Web-Adressen bekannter amerikanischer und europäischer
Banken ein und verknüpft sie mit IP-Adressen von Phishing-Servern.
Dann überwacht er den Status geöffneter Fenster, die entweder
zum Internet Explorer oder zum Ordner "Arbeitsplatz" gehören.
Ist kein solches Fenster geöffnet, trägt er in der HOSTS-Datei
die IP-Adresse "127.0.0.1" für alle Banken-Websites
ein.
Ist der Internet Explorer geöffnet, führt der Trojaner
eine DNS-Anfrage bei einem Name-Server in Russland aus, um von dort
aktuelle IP-Adressen aktiver Phishing-Server zu erhalten. Diese
Adressen trägt er dann in die HOSTS-Datei ein. Ruft ein Anwender
nun die Website seiner Bank auf, wird er auf einen Phishing-Server
umgeleitet. In der URL-Zeile des Webbrowsers erscheint jedoch die
korrekte Web-Adresse der Bank.
(rb, hannover)
(siehe auch tecchannel
News:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|