Ein Trojaner leitet Aufrufe von Banken-Websites auf wechselnde Phishing-Server um, indem er die Datei HOSTS manipuliert und so eine gefälschte Seite von einem Phishing-Server lädt. Die Websense Security Labs berichten über die Entdeckung dieses Schädlings.

Der Schädling trägt in der Datei "HOSTS" mehr als 100 Web-Adressen bekannter amerikanischer und europäischer Banken ein und verknüpft sie mit IP-Adressen von Phishing-Servern. Dann überwacht er den Status geöffneter Fenster, die entweder zum Internet Explorer oder zum Ordner "Arbeitsplatz" gehören. Ist kein solches Fenster geöffnet, trägt er in der HOSTS-Datei die IP-Adresse "127.0.0.1" für alle Banken-Websites ein.

Ist der Internet Explorer geöffnet, führt der Trojaner eine DNS-Anfrage bei einem Name-Server in Russland aus, um von dort aktuelle IP-Adressen aktiver Phishing-Server zu erhalten. Diese Adressen trägt er dann in die HOSTS-Datei ein. Ruft ein Anwender nun die Website seiner Bank auf, wird er auf einen Phishing-Server umgeleitet. In der URL-Zeile des Webbrowsers erscheint jedoch die korrekte Web-Adresse der Bank.

(rb, hannover)

(siehe auch tecchannel News:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE