Trend Micro weist auf Browser-Passwörter stehlenden Trojaner hin

Trend Micro warnt vor einem Trojaner namens Passteal, der in mehreren Varianten kursiert, aber meistens zusammen mit Raubkopien bekannter Programme verteilt wird. Seine Aufgabe ist es, Passwörter mittels Recovery-Tools aus Browsern zu stehlen. Ähnliche Software hatte früher Passwörter durch Aufzeichnung aller Tastatureingaben zu loggen versucht.

Passteal-Varianten finden sich in über BitTorrent oder Hosting-Sites verteilten Programmen. Trend Micro hat sie aber auch schon im Gepäck von E-Books gefunden. Die meisten verwenden PasswordFox, um an die Passwörter zu kommen. Die Variante TSPY_PASSTEAL.B dagegen setzt zu diesem Zweck WebBrowserPassView ein. Sie ist somit unter anderem in Internet Explorer 4 bis 9, Mozilla Firefox Version 1 bis 4, Google Chrome und Apple Safari erfolgreich. Gut möglich, meint Trend Micro, dass auch Passteal-Varianten für ganz bestimmte Onlinedienste unterwegs sind.

Passteal bei der Arbeit (Bild: Trend Micro)

Passteal bei der Arbeit (Bild: Trend Micro)


Als eine Art Verwandten von Passteal nennen die Sicherheitsforscher die Malware-Familie Zaccess, die sich beispielsweise als Passwort-Generator tarnte. Als Rootkit ist sie besonders schwer zu finden und zu löschen. Im dritten Quartal 2012 war sie die Malware mit den meisten Neuinfektionen im Netzwerk von Trend Micro.

Als Schutz empfiehlt Trend Micro neben seinem eigenen Passwort-Manager und seinen Sicherheitslösungen, nicht ein Passwort für mehrere Sites zu verwenden und stattdessen fortgeschrittene Passwort-Speichertechniken von Browsern zu verwenden – etwa das Master-Passwort von Firefox, das einen Zugriff auf gespeicherte Passwörter für einzelne Websites verhindert.

Tipp: Kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

Neueste Kommentare 

2 Kommentare zu Trend Micro weist auf Browser-Passwörter stehlenden Trojaner hin

  • Am 23. November 2012 um 20:44 von Will

    Ich nehme mal an, man muss dazu einen verseuchten Installer ausführen, ums ich das Ding überhaupt einzufangen, aber welche Betriebssysteme sind davon betroffen?

    • Am 24. November 2012 um 08:56 von schulte

      Da code-injection ein “eigentlich” normaler Vorgang in Windows ist, eine Programm im Kontext eines anderen laufen zu lassen, würde ich *ALLE* Windows Versionen im Verdacht haben. Leider kenne ich nur sehr wenige Sicherheitsprogramme, die das sicher abfangen. Die alte Firewall Sygate war so eine, ist aber sehr alt und ich rate von der ab.
      Das gezeigte Programm auf der rechten Seite des Bildes ist mit hoher Wahrscheinlichkeit ProcessExplorer von Sysinternals resp Microsoft.
      DAS Teil (eigentlich die ganze Suite inkl ProcessMonitor) sollte man immer im schnellen Zugriff haben. (kostet nichts und gibt’s unter http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx)

      Für den Laien auf den ersten Blick sicherlich ein wenig kompliziert, zumal er nicht die Zusammenhänge versteht. Schaut man aber einmal öfters auf sein Windows, das unter dem GUI ist, dann lernt man die einzelnen Prozesse nach und nach kennen und erkennt auch Ausreißer schnell, wie den, der oben im Bild ist.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *