CoolWebSearch sammelt Bankdaten und Passwörter

#1 Laut Sunbelt, Hersteller von Sicherheitssoftware, sammelt die Spyware CoolWebSearch unter anderem Bankdaten, eBay-Passwörter und Login Daten.

http://www.heise.de/newsticker/meldung/62557

#2 Ergänzent dazu

Zitat

Bei der Untersuchung der Spyware CWS (Cool Web Search) fand ein Forscher Hinweise, die ihn zu einem Server mit ausspionierten Daten führten. Patrick Jordan von Sunbelt Software untersuchte, was auf einem PC passiert, der mit der Spyware CWS verseucht ist.


Bei seiner Analyse stellte er fest, dass die untersuchte CWS-Variante ein Trojanisches Pferd installiert, das den PC in einen so genannten "Spam-Zombie" verwandelt. Der PC sendet dann ferngesteuert massenhaft Spam-Mails aus. Weiterhin fand Jordan heraus, dass CWS auch einen Key-Logger installiert, der Tastatureingaben protokolliert und die Protokolle an einen Server im Internet sendet.

Die Spur führte ihn zu einem Server in den USA, der unter einer in China registrierten Domain erreichbar ist. Auf dem Server fanden die Sunbelt-Forscher Dateien mit den ausspionierten Daten. Sie enthalten teilweise komplette Datensätze über eine große Zahl von Personen, vor allem Kontodaten inklusive Login für das Online-Banking, Sozialversicherungsnummern, Ebay-Accounts, aber auch Mitschnitte ganzer Chat-Sitzungen. Die Dateien werden regelmäßig von Unbekannten abgerufen und dann gelöscht. Sie werden dann neu angelegt und schnell wieder mit frischen Daten gefüllt, die von verseuchten Computern kommen.

Sunbelt hat sich an das FBI gewandt, das nun in dem Fall ermittelt. In einem eher hilflosen Versuch etwas zu tun nahmen Mitarbeiter von Sunbelt mit einigen Personen Kontakt auf, deren Daten sie in den Protokollen fanden und warnten sie. Nach bisherigem Stand der Untersuchungen ist noch nicht klar, ob der Key-Logger direkt zu CWS gehört oder ob sich die weiterhin aktiven Täter der relativ schwer zu entfernenden Spyware bedienen, um den Key-Logger einzuschleusen.

http://www.pcwelt.de/news/sicherheit/117465/index.html
Mfg Merlinx

#3

Zitat

fand ein Forscher Hinweise, die ihn zu einem Server mit ausspionierten Daten führten.

Wurde schon irgendwo geklärt, wie Sunbelt an die Daten des Servers kam ? Ist diese Meldung überhaupt zuverlässig ? Mir scheint einer schreibt beim anderen ab, damit man was "zu melden" hat.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 @Joschi Auch nicht ganz Neu aber Wichtig!! (Nur Info)

Zitat

Bereit seit einigen Monaten machen so genannte Rootkits von sich reden. Sie werden von Angreifern benutzt, die damit eingeschleuste Trojanische Pferde tarnen. Auch die Hersteller und Verbreiter von Adware und Spyware haben inzwischen Windows-Rootkits als Tarnkappen für ihre Programmdateien entdeckt.

Eines der größten Ärgernisse von Internet-Nutzern ist die Spyware "Cool Web Search" (CWS), die sich bereits in der Vergangenheit immer wieder als nicht so leicht entfernbar erwiesen hat. Neuere Versionen von CWS enthalten nun Funktionen, die denen von Rootkits zumindest sehr ähnlich sind. Sie sollen verhindern, dass betroffene Anwender die Programmdateien finden, die ihren PC ausbremsen, den Bildschirm mit Pop-ups füllen und ihre Suchanfragen umleiten. Früheren CWS-Versionen waren relativ leicht zu finden, aber nur schwer zu entfernen. Dazu leistete das Programm "CWShredder" oft gute Dienste, das nach der Übernahme von Intermute nun bei Trend Micro zu finden ist.

Jetzt kommt auch noch eine Art Tarnkappe hinzu. Nach Angaben von Roger Thompson von Computer Associates nutzt CWS so genannte Alternate Data Streams (ADS) des Windows-Dateisystems NTFS, um Teile des Rootkits zu verbergen. Das bedeutet für den Anwender, dass die Dateien weder im Windows Explorer noch mit dem Kommandozeilenbefehl "dir" sichtbar sind. Sie werden von Anti-Spyware-Programmen oder Virenscannern nur gefunden, wenn diese auch mit ADS umgehen können.

Spezielle Rootkit-Detektoren wie der "Rootkit Revealer" von Sysinternals oder "Blacklight" von F-Secure sollen den versteckten Programmen ihre Tarnkappen entreißen. Letztlich setzt sich jedoch auch hier das altbekannte Katz-und-Maus-Spiel zwischen Malware-Programmierern und den "Guten" fort.

http://www.aol.de/index.jsp?cid=1179281695
Mfg Merlinx