Banking-Trojaner Shylock nutzt jetzt auch Skype

Der Banking-Trojaner Shylock hat einen neuen Verbreitungsweg gefunden – Skype. Die Sicherheitsfirma CSIS entdeckte kürzlich ein Shylock-Modul namens "msg.gsm", das über die VoIP-Software andere Rechner zu infizieren versucht. Dort richtet es eine Trojaner-typische Backdoor ein. Das Modul versucht Shylock als Datei über Skype zu verschicken und sorgt dafür, dass dies möglichst nicht auffällt. Dazu bestätigt es Skypes Warndialoge selbstständig und entfernt Transfers aus dem Skype-Log.

Nach der Infizierung wird dann etwa ein VNC-Server installiert – eine Fernsteuerung des Rechners. Darüber hinaus erlaubt Shylock Angreifern Cookies abzugreifen, HTTP in Webseiten einzuschleusen (Webinjects) und den Schädling auch wieder zu deinstallieren.

Wie CSIS schreibt, konzentriert sich die Verteilung des Trojaners auf wenige Länder – darunter vor allem Länder Europas und dort besonders auf Großbritannien. Schon ohne die Skype-Funktion tummelte sich Shylock größtenteils dort. Dass der Schädling weltweit noch keine große Verbreitung gefunden hat, könne unter anderem daran liegen, dass Messaging-Programme wie Skype meistens zur inländischen Kommunikation genutzt werden.

Bei einem Test mit Antiviren-Software über Virustotal wurde das Skype-Modul des Trojaners am Donnerstagmorgen von keiner der 46 eingesetzten Virenscanner gefunden. Inzwischen schlagen immerhin 15 Programme an. CSIS bezeichnet Shylock als einen der fortschrittlichsten Online-Banking-Trojaner. Er werde kontinuierlich um neue Funktionen ergänzt. Neben Skype verbreitet sich Shylock auch klassisch über USB-Sticks und innerhalb eines Netzwerks. Nach bisherigem Kenntnisstand befällt der Schädling nur Windows-Systeme. (kbe)