JSP Gruppe

–  Ernste Bedrohung deutschsprachige Nutzer
–  Vorsicht beim Öffnen unbekannter E-Mail-Anhänge
Der Onlinebanking-Trojaner Bebloh (Win32/Spy.Bebloh) feiert sein Comeback und ist wieder ein häufig anzutreffender Schädling. Aktuellere Versionen der Schadsoftware werden mithilfe von Spam-Mails direkt an deutschsprachige Opfer verschickt, um diese zu infizieren. Die E-Mails erwecken in der Regel einen seriösen Eindruck. Im Anhang befindet sich vorgeblich eine Rechnung, der Versandstatus eines Pakets oder ein ähnliches, scheinbar wichtiges Dokument.
Solche Mails sind inzwischedn sehr gut nachgemachte Seiten z.B. von DHL, einer Bank oder ähnlichen bekannten Diensleistern. Bevor Sie eine solche Mail öffnen: Prüfen Sie z.B., ob Sie wirklich eine Sendung erwarten oder eine Geschäftsbeziehung mit dem Absender besteht. Vorsicht beim Öffnen von E-Mail-Anhängen unbekannter Herkunft – selbst wenn diese von scheinbar vertrauenswürdigen Quellen verschickt wurden. Die Malware wurde erstmals 2009 entdeckt und regelmäßig aktualisiert, um auch auf modernen Betriebssystemen lauffähig zu bleiben.

Prüfen Sie den Absender, indem Sie den Maus-Fokus (Pfeil) auf den Absender stellen (ohne Klick). Dann erscheint die tatsächliche Mail-Adresse. Wenn ein Link enthalten ist, führen Sie den Maus-Fokus auf den Link (ohne Klick) – dann sehen Sie links unten, wohin der Link führen würde – meist eine Seite, die nicht zum angeblichen Absender passt.

Win32/Spy.Bebloh ist ein sogenannter „Man-in-the-Browser“ (MITB)-Schädling und verbreitet sich über Spam-Mails. Das heißt, er kann sich in den Webbrowser einklinken, um Webseitenaufrufe zu überwachen oder die Webseite zu manipulieren. Dadurch ist es möglich, die Login-Daten beim Onlinebanking abzufangen oder ein Opfer zum Beispiel zur Eingabe der eigentlich nicht erforderlichen Persönlichen Identifikationsnummer (PIN) zu bewegen.
Die angehängte Schadsoftware ist durch eine doppelte Dateiendung (beispielsweise „.doc.exe“) erkennbar, die allerdings nur wenige Opfer bemerken. Der Trojaner aktiviert sich, sobald die Datei geöffnet wird und verbindet sich mit dem Windows Explorer (explorer.exe). Wenn die Verbindung steht, wird ein Command-and-Control-Server (C&C-Server) kontaktiert, um diesem die erfolgreiche Infizierung des Computers zu melden. Der C&C-Server hat nun eine Verbindung zum befallenen Rechner, wodurch er Daten von ihm empfangen sowie Befehle übermitteln kann. Dabei werden auch einige grundlegende Informationen des Opfers wie IP-Adressen oder Informationen über das Betriebssystem übertragen.

Um eine Analyse der gesendeten Dateien zu erschweren, wird die Kommunikation mit dem C&C-Server über SSL verschlüsselt. Als Antwort erhält der Schädling eine ebenfalls verschlüsselte Konfigurationsdatei, die in der Windows Registrierung gespeichert wird. In dieser Datei legt der Angreifer fest, von welchen Onlinebanking-Anbietern die Daten bei einem Login-Versuch abgegriffen werden sollen.
Win32/Spy.Bebloh besitzt zusätzlich noch die Möglichkeit, Dateien aus dem Internet zu laden und diese auszuführen. Weiter kann die Schadsoftware eigenständig Screenshots erstellen und sich selbst aktualisieren. Um einen Neustart des Computers zu überleben, schreibt der Schädling eine Kopie von sich selbst vom Arbeitsspeicher auf die Festplatte und erstellt einen Starteintrag in der Windows Registrierung, sobald das System heruntergefahren wird.

Und weil sich der Trojaner in der Windows-Systemdsatei versteckt, kriegen Sie den auch nicht mit den „normalen“ Antiviren-Programmen raus – er kommt bei jedem Hochfahren wieder. Bringen Sie den befallenen Rechner zu uns – wir können auch die Systemdateien vom Virenbefall befreien….

© 2013 JSP-Gruppe