[Avantasia]

Zitat:

Ein neu entdeckter Trojaner namens "Shifu" agiert auf eine Weise, die für Malware bislang ziemlich ungewöhnlich ist: Eines seiner Module funktioniert im Grunde wie eine Sicherheits-Software, die das System vor Schadcodes schützen soll. Und auch sonst ist Shifu nicht gerade normal.

Entdeckt und analysiert wurde der Trojaner von Red Cell, einer Gruppe von Sicherheitsexperten bei IBM, die sich auf den Bankensektor spezialisiert hat. Dabei zeigte sich, dass die Malware ähnlich arbeitet, wie es bei gezielten Angriffen auf Computer-Systeme vorkommt. Wenn ein bestimmter, für eine Sache wertvoller Rechner unter Kontrolle gebracht wurde, versuchen die Täter andere Angreifer draußen zu halten und sorgen zuerst möglichst dafür, bis auf ihren eigenen Zugang alle anderen Sicherheitslücken zu schließen.

Auch Shifu arbeitet aktiv daran, einen infizierten Rechner von anderer Malware frei zu halten. Dafür verfügt der Trojaner über ein Modul, das ähnlich arbeitet, wie normale Sicherheits-Software. Erkennt dieses Aktivitäten eines anderen Schädlings, wird versucht, diesen erst einmal lahmzulegen. Gelingt dies nicht, werden Samples an einen Kontroll-Server geschickt, damit feinere Methoden nachgerüstet werden können.

Da Shifu es vor allem darauf abgesehen hat, Zugangsdaten und andere Informationen zum Online-Banking abzugreifen, geht die Malware in erster Linie gegen andere Banking-Trojaner vor. Das soll sicherstellen, dass nicht andere Schädlinge dazwischenfunken, wenn man gerade selbst Geld ergaunern will.

Frankenstein der Banking-Szene

Doch nicht nur das zeichnet Shifu laut den Sicherheitsforschern aus. Die Analysen lassen den Schluss zu, dass es sich bei den Autoren um recht fähige Entwickler handelt. Diese hätten hier quasi in der Art eines Frankenstein agiert und aus den Quellcodes verschiedenster erfolgreicher Banking-Trojaner die jeweils besten Bestandteile zusammengefügt.

So stammen die Bestandteile, mit denen sich die Malware vor Sicherheits-Tools verbirgt, offenbar von ZeuS. Eine andere bekannte Quelle ist Conficker, von dem das Verfahren übernommen wurde, Systemwiederherstellungs-Punkte von Windows unbrauchbar zu machen. Hinzu kamen Module von mindestens fünf anderen Schädlingen, die sich in Shifu wiederfanden.

Der Trojaner ist aktuell vor allem in Japan aktiv und versucht dort Online-Banking-Nutzer anzugreifen. Hier wurden zuletzt Opfer verzeichnet, die Kunden von 14 verschiedenen Geldinstituten sind. Eine nennenswerte Zahl von Infektionen fand man aber auch in Deutschland und Österreich, hinzu kommen einige andere europäische Länder. Forschung, Medizin, Horror, Frankenstein Tom Margie (CC BY-SA 2.0)

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[GoalBoal]

Hallo,

mal ganz ehrlich, es kommt Monat für Monat mehrere Schädlinge auf dem Markt. und 1 von 1000 wird erfasst. !?

Sorry, dafür habe ich kein Verständnis.