Der IT-Sicherheitsspezialist Doctor Web warnt vor einer massenhaften Verbreitung eines Trojaners aus der BackDoor.Caphaw-Familie. Vor allem in den ersten November-Wochen wurde die Schadsoftware massiv über Skype verbreitet. BackDoor.Caphaw kann Kundendaten für Online-Banking-Software sowie andere vertrauliche Daten von befallenen PCs entwenden.
BackDoor.Caphaw gefährdet bereits seit einem Jahr Online-Banking-Nutzer. Der Schädling verbreitet sich hauptsächlich über Sicherheitslücken (Exploits in BlackHole). Er kann sich auch über USB-Sticks und Netzwerk-Laufwerke kopieren. Seit Mitte Oktober 2013 gibt es vermehrt Fälle, bei denen Benutzer über massenhaft versendete Skype-Nachrichten durch BackDoor.Caphaw infiziert wurden. Vom 5. bis zum 14. November war der Versand von böswilligen Links besonders massiv. Die Angreifer versenden Skype-Nachrichten, um PCs zu infizieren und nutzen dafür die Konten der bereits betroffenen Personen. Die böswilligen Nachrichten enthalten einen Link zum Archiv invoice_ХХХХХ.pdf.exe.zip, wobei ХХХХХ eine beliebige Zahl sein kann. Das Archiv enthält eine ausführbare Datei, die nichts anderes ist als BackDoor.Caphaw. Nachdem sich der Schädling im System befindet, erstellt er eine Kopie mit einem beliebigen Namen und modifiziert den Systemregistry-Schlüssel, der für das automatische Starten von installierten Programmen verantwortlich ist. Dabei setzt der Trojaner verschiedene Evasion-Techniken ein.
Wenn sich BackDoor.Caphaw erfolgreich eingenistet hat, versucht er in laufende Prozesse einzudringen, indem er eine Verbindung zum Server der Angreifer herstellt. Der Trojaner überwacht Aktivitäten des Benutzers, unter Anderem Verbindungen zu verschiedenen Online-Banking-Systemen. Nachdem BackDoor.Caphaw eine solche Verbindung hergestellt hat, kann er fremde Inhalte in Nachrichten platzieren und die vom Benutzer eingegebenen Daten abfangen.
Der Trojaner nimmt auch Videos auf und überträgt diese als RAR-Archiv auf den Server der Kriminellen. Darüber hinaus kann BackDoor.Caphaw zusätzliche Module von einem Remote-Server herunterladen und starten, die FTP-Passwörter entwenden, einen VNC-Server einrichten und den Bootsektor mit einem MBR-Bootkit infizieren. Ein weiteres Modul versendet Schad-Links automatisch über Skype. Dr.Web Antivirus entdeckt und löscht BackDoor.Caphaw, wenn er in ein geschütztes System eindringen will. Anwender sollten allerdings auf jeden Fall vorsichtig sein, Links in Skype Nachrichten anzuklicken, auch wenn sie von vertrauenswürdigen Kontakten kommen. Die Rechner können bereits von BackDoor.Caphaw befallen sein. Bei einem Befall empfiehlt Doctor Web, Windows im sicheren Modus zu starten und den Rechner mit dem kostenlos erhältlichen Dr.Web CureIt! zu scannen oder Dr.Web LiveCD zu nutzen.
Firmenkontakt und Herausgeber der Meldung:
Doctor Web Deutschland GmbH
Rodenbacher Chaussee 6
63457 Hanau
Telefon: +49 (6039) 939-5414
Telefax: +49 (6039) 939-5415
http://www.drweb-av.de
Ansprechpartner:
Mandy Kuhl
+49 (89) 628175-20