Die DEUTSCHEN Trojaner-Seiten
Home
VBS/Loveletter.bd späht Kunden einer Schweizer Bank aus


Eine neue Loveletter Variante fand bereits sein erstes "grosses" Opfer in der Schweiz. Es handelt sich um das Schweizer Kreditinstitut United Bank of Switzerland. Hierbei wurden Kundendaten ausgespäht und per E-Mail an den Virenautor übermittelt. Laut Angaben des Unternehmens sollen "nur" Privatkunden davon betroffen sein.

Der Wurm verbreitet sich in einer Email mit dem Betreff "resume" oder
"contract" und enthält eine Datei mit dem Namen "resume.txt.vbs". Öffnet der Anwender den Dateianhang, wird ein Schreiben einer scheinbaren Schweizer Firma über das Programm Notepad angezeigt, wo ein Programmierer gesucht wird. Der Text lautet wie folgt:

"Knowledge Engineer, Zürich

Intelligente Agenten im Internet sammeln Informationen, erklären Sachverhalte im Customer Service, navigieren im Web, beantworten Email Anfragen oder verkaufen Produkte...."

Dabei verschickt sich der Worm an alle eingetragenen Mailadressen, des Outlook Adressbuches. Doch der Autor des Worm lässt sich ebenfalls über erfolgte Infektionen "informieren", indem er sich eine E-Mail an die Adressen:

ct102356@excite.com
acch01@netscape.net
deroha@mailcity.com

schicken lässt. Man nimmt an, der Autor hat diese kostenlos erhältlichen Mailadressen eigens für diesen Zweck angelegt.

Wenn der Worm das Programm "USB Pin" (dieses Programm benutzt das hier genannte Kreditinstitut) findet, so wird ein Programm Namens "HCHECK.EXE" von einem entfernten Server geladen , welches das Trojanische Pferd "Hooker" enthält. Die "HCHECK.EXE" wird von einem der Server "Michigan State University" oder des "National Institutes of Health" in den USA automatisch heruntergeladen.

Hooker sammelt alle persönlichen Daten des Nutzers inklusive Passwörter und schickt sie an eine Emailadresse des Autors von "Loveletter.bd", die bei neurostock.net (IP: 165.121.181.2) liegt.

Der neue Worm "funktioniert" jedoch nur "einwandfrei", wenn einige Voraussetzugen gegeben sind:

- Existenz des Windows Scripting Hosts und das Mailprogramm Outlook aus dem Hause Microsoft (ohne neustem Office Sicherheitspatch)

- Das Programm "USB Pin" muss vorhanden sein

Weitere lokale Schadensroutinen durch VBS/Loveletter.bd sind bisher nicht bekannt. Das Schweizer Kretitinstitut hat zwischenzeitlich den Eindringling aus dem System entfernt. Eine Gefahr ist somit seitens der Bank nicht mehr gegeben.

(tt) 18.08.2000