Der Schädling Trojan.PWS.Stealer.23012
Der als Trojan.PWS.Stealer.23012 getaufte Schädling ist auf Python geschrieben und infiziert Rechner unter Microsoft Windows. Die Verbreitung des Trojaners geht auf den 11. März 2018 zurück und dauert bis heute an. Cyber-Kriminelle posten Links in Kommentaren zu Video-Spots auf YouTube, wie news.drweb-av.de dazu informierte.
In vielen solcher Videos wird auf vermeintliche Spiel-Techniken mit Hilfe spezieller Software hingewiesen. Cyber-Kriminelle versuchen, den Trojaner als eben diese Tools auszugeben. Alle Links führen zu Yandex.Disk. Um den Benutzer zu überzeugen, auf den Link zu klicken, werden mehrere Kommentare unter verfälschten Konten verfasst. Beim Klicken auf den Link wird ein RAR-Archiv heruntergeladen, welches einen Trojaner enthält.
Leidenschaftlicher Datensammler
Nachdem der Trojaner auf dem infizierten Rechner gestartet ist, sammelt er folgende Daten:
- Dateien Cookies aus Browsern Vivaldi, Chrome, Yandex.Browser, Opera, Kometa, Orbitum, Dragon, Amigo, Torch;
- Gespeicherte Logins/Passwörter aus den genannten Browsern;
- Bildschirmaufnahmen.
Er kopiert darüber hinaus Dateien mit folgenden Erweiterungen vom Windows-Desktop: ".txt", ".pdf", ".jpg", ".png", ".xls", ".doc", ".docx", ".sqlite", ".db", ".sqlite3", ".bak", ".sql", ".xml".
Alle übermittelten Daten speichert Trojan.PWS.Stealer.23012 im Verzeichnis C:/PG148892HQ8. Anschließend verpackt er sie ins Archiv spam.zip, das zusammen mit Geo-Daten des infizierten Geräts an den Server von Cyber-Kriminellen übermittelt wird.
Doctor Web bietet Schutz
Die Virenanalysten von Doctor Web haben mehrere Muster des Trojaners entdeckt. Ein Teil davon wird als Trojan.PWS.Stealer.23198 erkannt. Alle bekannten Modifikationen des Schädlings werden durch Dr.Web Antivirus erfolgreich entdeckt und stellen deshalb keine Gefahr für Dr.Web Nutzer dar.
Weiterführende Links:
news.drweb-av.de: Doctor Web: Neuer Trojaner verbreitet sich auf YouTube
