Als Doppelpack treten die beiden Trojaner Nabload.CC und Banker.CJA ihren Kampf gegen die Firewall an. Gelingt es Nabload.CC unbemerkt über die Grenzen der Sicherheitswand zu schlüpfen, öffnet er direkt eine Webseite und schleust seinen Kumpanen Banker.CJA mit durch, der uneingeschränkt auf dem infizierten Rechner sein schadhaftes Verhalten an den Tag legt: Er checkt die geöffneten Webseiten, schnüffelt nach Passwörtern zum Einloggen in Online Konten und unterdrückt legitime Online-Banking-Seiten. Der Nutzer wägt sich indessen in Sicherheit, wenn er seine Zugangsdaten eingibt – die angezeigte Seite sieht der rechtmäßigen Webseite seiner Bank zum Täuschen ähnlich. Banker.CJA protokolliert alles genau mit und versendet die Informationen über bestimmte URLs an seinen Programmierer. Mit allen Berechtigungen ausgestattet, kann der Hacker nun das Konto seines Opfers plündern.
In Kombination mit anderen Trojanern hat sich in der vergangenen Woche auch Briz.C verbreitet. Diese Verbreitungsweise ist generell bei gezielten Angriffen üblich. Panda Software hat die Technik der zielgerichteten Attacken untersucht und die Ergebnisse in einem White Paper zusammengetragen: www.pandasoftware.com/attacks.
Wie die oben vorgestellten Trojaner, so ist auch Briz.C ein Vertreter des modernen Bankraubs, sein Vorgehen ist jedoch komplett entgegengesetzt. Statt sich in Teamwork mit einem anderen Trojaner den Zutritt auf das fremde System zu verschaffen, lädt er seine eigenen Komponenten eine nach der anderen herunter. Ist er vollständig, beginnt seine eigentliche Aufgabe mit dem Abschalten der Firewall und der weiteren Sicherheitsprogramme. Nun kann er in Ruhe nach Passwörtern für Postfächer, Banken und Online Services suchen.
Die beiden Würmer des heutigen Berichts treten zwar nicht gemeinsam auf, haben aber trotzdem etwas gemeinsam: Sie haben beide Rootkit Funktionen, die es ihnen ermöglichen, versteckte Prozesse durchzuführen. Gurong.A lädt Dateien von verschiedenen IP Adressen, in denen unvollständige Kopien seines Codes enthalten sind und ändert Einträge in der Windows Registry.
In ähnlicher Weise schaltet die Bagle-Variante HX zahlreiche Services von Antiviren und Sicherheits-Applikationen aus, um sich mit Webseiten zu verbinden und sich Dateien aus dem Internet zu ziehen. Eine dieser Dateien, „m_hook.sys“ ist ein Rootkit, dessen Aufgabe es ist, von Bagle.HX erstellte Dateien und Registry Einträge zu verbergen.