Trojanisches Pferd verändert Banken-Lesezeichen

Wie mir ein befreundeter Volksbank EB-Kollege mitteilt, ist anscheinend zur Zeit in Virus unterwegs, der offensichtlich direkt die Bookmarks der Browser manipuliert.

Die betroffene Kundin landete direkt auf einer Phishing-Seite, bei der nach der vermeintlichen Anmeldung direkt nach 4 TAN gefragt wurde.

Gruß
Raimund

Hallo Raimund,
der Trojaner den Du meinst, schaltet über einen lokalen Proxy den er mit an Board hat eine "Zwischenseite" sobald er merkt dass eine Bankinganwendung gestartet wird. Hier wird dann der Kunde anfgefordert 4 TAN einzugeben. Nach Eingabe dieser, kann er sein Banking wieder ohne Probleme nutzen. Meines Wissens dürften ca. zwei Varianten des Trojaners im Moment im Umlauf sein. Die meisten Antivirenhersteller wie z.B. Antivir haben aber eine Virensignatur bereitgestellt.

Die Host- Dateien werden nicht manipuliert. Der Trojaner hat einen richtigen kleinen Proxy Server der via wechselnder TCP Ports auf das Internet zugreifen und mit einem remoten Server über HTTP kommunizieren kann.

Die mir bisher bekannten Varianten sind:

- Troj/Torpig-U -> Sophos / Trojan.Satiloler.B -> Symantec
- Troj/Torpig-K -> Sophos / Trojan.Anserin -> Symantec

Diese sind allerdings schon etwas älter. Der neuste den ich kenne ist vom 05.04.2006 und wird z.B. bei Antivir als TR/Agent.GP.3 erkannt.