Trojaner im Umlauf
Beim Öffnen von Mails ist erneut grössere Vorsicht geboten. Ein Trojaner geht umher. Er nennt sich Dyre oder Dyreza und ist eine weiterentwickelte Version des letztjährigen Banking-Trojaners Dyre respektive Dyreza.
Erstellt von WEBKINDER am 27.04.2015 in Infrastruktur & Services
Der Banking-Trojaner vom letzten Jahr sammelte Banken-Login-Daten, womit sich der Entwickler/Hacker mit den geholten Infos unbemerkt einloggen und Geld auf das eigene Konto transferieren konnte. Der aktuelle, weiterentwickelte Dyre-Trojaner funktioniert etwas anders und es ist zurzeit noch nicht bis ins Detail geklärt, welchen Schaden er anrichten kann. Er bleibt aber ein Banking-Trojaner, der nun auch normale Nutzer und nicht «nur» Banken zum Ziel hat.
Das Öffnen einer infizierten Mail reicht aus
Dyre oder Dyreza tarnt sich als E-Mail. Nur schon das Öffnen einer solchen Mail reicht, dass sich der Trojaner auf dem System ausbreitet. Der Trojaner hinterlegt und erstellt Ordner, Dienste sowie Dateien, welche beispielsweise ein «Portal» öffnen, um weitere Viren / Trojaner auf das System zu laden. Nach neuesten Informationen versteckt er sich bis der User sich auf E-Banking-Seiten anmeldet und Dyre/Dyreza damit aktiviert.
Wird eine infizierte Mail geöffnet, verschickt sich der Trojaner ausserdem an Adressen, die er im Verlauf von Outlook findet. Es kann bereits vorkommen, dass Unternehmen durch die Spam-Mails, welche von ihren Accounts unbemerkt losgehen, auf die Blackliste gesetzt werden.
Grossmehrheitlich ist es ein Problem bei Windows. Leider gibt es aber bereits Meldungen, wonach Mails von Office for Mac Outlook-Clients aus verschickt wurden. Detaillierte Informationen dazu fehlen aber bislang. Somit könnte der Trojaner auch auf Mac übergreifen. Definitiv bestätigen können wir dies im Moment aber nicht.
Anti-Virus-Lösung erkennt den Eindringling nicht
Da sich der Trojaner beim Versenden immer neu verpackt – dies wird auch Server-Side Polymorphing genannt – kann er eine Anti-Viren-Lösung beim Empfänger komplett aushebeln. Er spielt der Anti-Viren-Lösung vor ein komplett neuer Trojaner zu sein, welcher noch nicht in der Anti-Viren-Datenbank der Firmen gespeichert ist. Tatsächlich ist er aber seit längerem bekannt. Somit erkennt die Anti-Viren-Lösung den Trojaner beim Eintreffen nicht. Erst bei einem kompletten System Scan kann der Virus entdeckt werden. Anzeichen kann auch ein ungewöhnliches Verhalten von Outlook (automatischer Versand von Mails, wiederkehrende Abstürze etc.) sein. Die sollte umgehend dem IT-Personal gemeldet werden.
Da nistet sich der Trojaner ein
Momentan sind folgende Pfade bekannt:
- C:\Windows
- C:\Temp (Dort erstellt er diverse .tmp Dateien die eigentlich Trojaner sind)
- C:\Users(Benutzer)\%username%\AppData\Local\Temp
Dyre oder Dyreza benutzt oder erstellt auch einen Google-Update-Service-Dienst, womit er sich entsprechend aktualisiert und auf dem neuesten Stand bleibt. Dieser Dienst hinterlegt in der Windows Registry folgenden Eintrag:
- HKLM\SYSTEM\CurrentControlSet\Services\googleupdate\ImagePath: «C:\WINDOWS\pfdOSwYjERDHrdV.exe»
- HKLM\SYSTEM\CurrentControlSet\Services\googleupdate\DisplayName: «Google Update Service»
Das kann man dagegen tun
Die Anti-Viren-Definition stets aktuell halten. Die Anti-Viren-Lösung erkennt den Virus, wenn man einen Scan laufen lässt. Dyre/Dyreza kann also gelöscht werden. Nach dem Löschen empfiehlt es sich, einen weiteren Scan laufen zu lassen, da sich der Trojaner beim ersten Säubern nicht immer restlos entfernen lässt. Immer beachten, dass ein kompletter Scan und kein Quick Scan gemacht wird.
Suspekte E-Mails mit Betreff «MyInfo» oder «Info» umgehend und auch komplett aus dem Outlook löschen (Ordner – > Gelöschte Elemente). Keine Mail Anhänge wie «Invoice.zip» oder Rechnungen mit Zahlen, wie z.B. «45654645.zip» öffnen. Keine Links anklicken. Bei Verdacht sich sogleich an eine IT-Person wenden und kein E-Banking mehr durchführen.