24.05.2011, 00:00 Uhr
64-Bit-Rootkit stiehlt Bankdaten
Die Sicherheit der 64-Bit-Systeme schwindet: Sicherheitsexperten haben einen Trojaner enttarnt, der 64-Bit-Windows-Systeme infiziert. Dann späht er die Bankdaten seines Besitzers aus. Der Trojaner deaktiviert die Benutzerkontenkontrolle (User Account Control, UAC) in Windows und verändert dann die Registry, berichtet der Kaspersky-Dienst Threatpost. Er installiert dem infizierten Rechner neue Zertifikats-Autoritäten. Der Nutzer wird dann auf eine gefälschte Online-Banking-Seite geleitet. Weil er das ebenfalls gefälschte Zertifikat vorweist, erscheint die manipulierte Webseite mit dem https-Icon für eine gesicherte Verbindung. Der Surfer soll denken, er befinde sich auf der legitimen Online-Banking-Seite seines Geldinstituts und dort seine Benutzerdaten eingeben.
Damit das Opfer auf die gefälschte Bank-Webseite surft, modifiziert das Rootkit die Liste der registrierten Treiber, die im Boot-Prozess laden dürfen. Die neuen Treiber, plusdriver.sys und plusdriver64.sys, starten beim nächsten Start des infizierten PC und modifizieren die Host-Datei so, dass der Nutzer auf die gefälschte Bank-Webseite umgeleitet wird. Bislang hat sich der Schädling hauptsächlich in Brasilien verbreitet. Die Geschädigten hatten ihn per Drive-by-Download über ein bösartiges Java-Applet auf ihren Rechner geholt. Er infiziert sowohl 64- als auch 32-Bit-Systeme. (ph/com!)
Damit das Opfer auf die gefälschte Bank-Webseite surft, modifiziert das Rootkit die Liste der registrierten Treiber, die im Boot-Prozess laden dürfen. Die neuen Treiber, plusdriver.sys und plusdriver64.sys, starten beim nächsten Start des infizierten PC und modifizieren die Host-Datei so, dass der Nutzer auf die gefälschte Bank-Webseite umgeleitet wird. Bislang hat sich der Schädling hauptsächlich in Brasilien verbreitet. Die Geschädigten hatten ihn per Drive-by-Download über ein bösartiges Java-Applet auf ihren Rechner geholt. Er infiziert sowohl 64- als auch 32-Bit-Systeme. (ph/com!)
