Der Ansatz ist noch der gleiche.
Versenden einer betrügerischen E-Mail mit einem Link zu einer infizierten Webseite ----> Download und Ausführen des ersten Trojaner-Downloader ----> Download und Installation der Bank-Trojaner
Die Brasilianischen Programmierer verbergen den Download-Link unter Verwendung mehrerer Techniken und andererseits entschlüsseln sie nun auch den Bank-Trojaner, der auf das System geladen werden soll.
Erkennt der Anwender den betrügerischen Link und versucht den dahinterliegenden Trojaner herunterzuladen,bekommt er folgendes Bild zu sehen.
Hier handelt es sich um eine Speziell entschlüsselte PE-Datei.Die Programmierer aus Brasilien wollen damit einer automatisierten Malware-Analyse durch AV-Unternehmen umgehen.Das vom Server heruntergeladene Sample funktioniert solange nicht bis es vom ersten Trojaner-Downloader mit dem Entschlüsselungs-mechanismus Entschlüsselt wird.
Nach der Entschlüsselung ist der Bank-Trojaner als Ausführungsprogramm (PE-Datei) zu erkennen und kann das System Infizieren.
Kaspersky Antivirus erkannte das Sample als Trojan-Banker.Win32.Banker.aumz und konzentriert seine Angriffe auf die Kunden der drei größten Banken Brasiliens.
Quelle: http://www.viruslist.com
08.04.2010 15:21 Uhr
