31. März 2006:

Trojaner von der BBC

Wie lenkt man ahnungslose Surfer auf eine manipulierte Webseite, um ihnen dort heimlich ein Schadprogramm unterzuschieben? Nichts leichter als das, scheinen sich derzeit Internetbetrüger zu sagen und verschicken gefälschte HTML-Mails, die vorgaukeln, von der britischen BBC zu stammen. Darin wird ein echter BBC-Artikel kurz angerissen, der sich mit dem derzeitigen Hochstand der chinesischen Währung Yuan gegenüber dem Dollar beschäftigt. Wer weiterlesen möchte, soll einen Link anklicken – und gelangt auf eine gefälschte BBC-Webseite, wo dem ahnungslosen Surfer ein Trojanisches Pferd untergeschoben wird. Die Internetbetrüger nutzen dabei jene Lücke im Internet Explorer aus, die unter dem Namen „createTextRange“ bekannt ist. Für dieses gravierende Sicherheitsleck gibt es derzeit noch keinen offiziellen Patch aus Redmond.

Gefälschte Mails von der BBC
Rund zweihundert Webseiten, die die „createTextRange“-Lücke des Internet Explorer ausnutzen, hat das US-Sicherheitsunternehmen Websense bisher gezählt. Nun kommt eine neue Variante ins Spiel. Unbekannte verschicken gefälschte HTML-Mails des britischen Hörfunk- und Fernsehsenders BBC, um die Mailempfänger auf eine manipulierte Webseite zu locken. Das berichtet das US-Sicherheitsunternehmen Websense in einer aktuellen Sicherheitswarnung. Wer der Versuchung nicht widerstehen kann und den in der HTML-Mail vorgegebenen Link anklickt, gelangt auf eine täuschend echt nachempfundene Seite der britischen BBC. Diese Seite ist so präpariert, dass sie die „createTextRange“-Lücke des Redmonder Hausbrowsers ausnutzt und dem Surfer automatisch ein Trojanisches Pferd unterschiebt – und dieser Trojaner hat es in sich.

Keylogger wird installiert
Der Trojaner, der über die gefälschte BBC-Seite heruntergeladen und im Anwender-PC automatisch ohne Wissen des Anwenders installiert wird, arbeitet als so genannter Keylogger. Er zeichnet sämtliche Eingaben auf, die der Nutzer per Tastatur tätigt, und sendet sie an die Urheber des Schadprogramms zurück. Der Angreifer erfährt auf diesem Wege sämtliche persönliche Daten des Nutzers, Passworte und Kreditkarteninformationen selbstverständlich inklusive. Er kann die abgegriffenen Daten anschließend für Internetbetrügereien nutzen und etwa mit falscher Identität im Netz einkaufen oder nicht existente Waren bei eBay versteigern und anschließend per Vorkasse das Geld kassieren. Ob und in welcher Höhe bereits Schäden durch dieses geschickt eingefädelte Betrugsmanöver entstanden sind, ist bisher nicht bekannt.

Kein Flicken vor dem Flickentag
Microsoft hat unterdessen seinen Sicherheitsbericht zur „createTextRange“-Lücke aktualisiert. Allerdings bleibt der Softwarekonzern bei seiner Ankündigung, dass das fragliche Sicherheitsleck erst am offiziellen Patchday am 11. April geschlossen werden wird. Anwender des Internet Explorer sind bis zu diesem Datum auf ihr Glück angewiesen, wenn sie nicht auf eine manipulierte Webseite stoßen wollen. Wer auf Nummer sicher gehen möchte, sollte bei seinen Surftouren dringend auf den Internet Explorer verzichten und für seine Ausflüge ins Web einen alternativen Browser nutzen, raten Experten. Wer den Redmonder Browser trotzdem weiternutzen möchte, sollte zumindest die ActiveScripting-Funktion des Internet Explorer deaktivieren oder sich die Ausführung zumindest in jedem Einzelfall bestätigen lassen.

94.000 Downloads
Die Firma Websense sowie andere Sicherheitsunternehmen haben bereits vor einigen Tagen inoffizielle Sicherheitsflicken für den Internet Explorer herausgegeben. Microsoft rät davon ab, diese Flicken zu installieren. Sie seien noch nicht genug getestet. Auch das US-amerikanische SANS Institute warnt davor, einen inoffiziellen Sicherheitsflicken aufzuspielen. Wer ActiveScripting deaktiviere, sei bereits auf der sicheren Seite. Knapp 100.000 Nutzer des Internet Explorers haben sich durch diese Warnungen allerdings nicht abschrecken lassen und die inoffiziellen Sicherheitsupdates heruntergeladen.

Zurück zur News-Übersicht