Trojaner tarnen sich vermehrt als Sicherheitslösung

Trojaner tarnen sich immer häufiger als Sicherheitslösungen beziehungsweise als Updates für Betriebssysteme, um arglose Anwender zur Installation zu bewegen. Das geht aus dem aktuellen Malware-Report von Trend Micro für den Monat August hervor. Das IT-Sicherheitsunternehmen hat im vergangenen Monat zudem neue Varianten des ZLOB-Trojaners entdeckt, der lokale DNS-Einstellungen manipuliert, so dass Internet-Anfragen nach Belieben auf gefährliche Seiten umgeleitet werden können.

Laut Trend Micro setzt die Malware-Szene auf das Sicherheitsbewusstsein von Anwendern, ihre Security- und Betriebssystem-Software immer auf dem neuesten Stand zu halten. Im August entdeckte das Unternehmen eine steigende Zahl von Trojanern, die sich als Sicherheitslösung tarnen.

Die Infektionskette beginnt Trend Micro zufolge üblicherweise mit einer Spam-E-Mail, die beispielsweise einen Link zu einem angeblichen Prominenten-Video enthält. Wird dieser Link geöffnet, starten der automatische Download und die Installation eines Trojaners. Im Folgenden erhält der Anwender wiederholte „Infektionsalarme“ und „Update-Aufforderungen“, während im Hintergrund zusätzliche Malware installiert wird. Ein Vertreter dieser Kategorie, von Trend Micro als „TROJ_FAKEAV.CX“ erkannt, fordert den Anwender sogar zum Erwerb einer Lizenz für die angebliche Demoversion des falschen Sicherheitsprogramms auf.

Dieser Social-Engineering-Trick wird auch auf Betriebssysteme und andere Applikationen angewandt. So entdeckte Trend Micro im vergangenen Monat verschiedene Spam-Mails mit Links zu „kritischen Updates“ für Windows XP und Vista sowie für eine amerikanische Banking-Software.

Von den neuen ZLOB-Trojanern sind dem Sicherheitsunternehmen zufolge besonders vier der größten Suchmaschinen betroffen: Suchanfragen werden ohne Wissen des Anwenders auf andere Internet-Seiten umgeleitet. Dort findet sich zwar eine vertraute Liste der Suchergebnisse, aber nach Erkenntnissen von Trend Micro ist die überwiegende Mehrzahl der ergänzenden „Sponsored Links“ gefälscht. Für die Suchmaschinen bedeutet dieser „Click Fraud“ immense finanzielle Verluste und Anwender können nicht mehr sicher sein, auf vertrauenswürdige Webseiten zu gelangen.

Mit immer neuen Social-Engineering-Tricks gelingt es den Kriminellen hinter ZLOB, die Verbreitungszahlen auf einem konstant hohen Niveau zu halten. Allein für das zweite Halbjahr 2007 geht Microsoft von rund 14.000.000 Infektionen aus. Den Suchmaschinenbetreiber ist das Problem bekannt, aber gegen lokale Manipulationen können sie nicht vorgehen.