com!-Academy-Banner
Warnung von G Data

Banking-Trojaner verbreitet sich über Word

von - 25.06.2015
Banking-Trojaner Dridex
Foto: shutterstock / vchal
Der Banking-Trojaner Dridex infiziert fremde Rechner mithilfe eines manipulierten Office-Dokuments. Wir zeigen, wie der Angriff funktioniert und wie Sie sich davor schützen.
Der Banking-Trojaner Dridex nutzt Microsoft Word, um sich zu verbreiten. Nach erfolgreicher Infektion manipuliert der Schädling besuchte Banking-Webseiten und versucht, die Login-Informationen des Internet-Nutzers zu klauen. Der Sicherheitsanbieter G Data warnt nun vor einem neuen Trick, mit dem sich Dridex auf fremden PCs einzuschleichen versucht.
Angriff per Makro
Gefahr in Word: Die Datei fordert den Anwender auf, Makros zu aktivieren.
(Quelle: G Data )
Zunächst versenden die Kriminellen Spam-Mails mit einem angehängten Dokument. Diese Datei tarnt sich als DOC-Datei, ist aber in Wahrheit ein MHTML-Dokument. Beide Dateiformate können mit Word geöffnet werden. Der Anwender merkt also keinen Unterschied.
Die Datei enthält einen Makrocode, mit dem ein weiteres Programm aus dem Internet heruntergeladen werde soll. Normalerweise sind Makros in Microsoft Office aber mittlerweile deaktiviert. Die Datei zeigt dem Anwender deswegen einen Buchstabensalat mit der Aufforderung, Makros zu aktivieren, um den Inhalt der Nachricht lesen zu können.

Umweg über Downloader

Fällt der Nutzer auf den Trick herein, lädt das Makro aber stattdessen einen kleinen Downloader herunter. Dieser hat die Aufgabe, die Benutzerkontensteuerung von Windows zu umgehen und das eigentliche Schadprogramm – den Banking-Trojaner Dridex – herunterzuladen.G Data empfiehlt, ein Windows-Update von Microsoft herunterzuladen und zu installieren. Das Update sorgt dafür, dass die Warnmeldungen der Benutzerkontensteuerung nicht unterdrückt werden können. Dieses durchaus sinnvolle Update wird nicht standardmäßig installiert. Eine geeignete Ergänzung zu Ihrem installierten Virenscanner ist RogueKiller.
Neben dem Manipulieren von Webseiten und Klauen von Login-Daten kann Dridex unter anderem weiteren Schadcode nachladen und ausführen, sich selbst aktualisieren, Screenshots anfertigen und den infizierten PC in ein Botnet einklinken.
Verwandte Themen