Menü
Update
Security

G Data jagt Banking-Trojaner

Von
vorlesen Drucken Kommentare lesen 63 Beiträge

BankGuard von G Data geht einen eigenen Weg, um Banking-Trojaner aufzuspüren und deren Angriffe zu abzuwehren. Es zielt dabei speziell auf unbekannte Schadprogramme und kommt ohne Signaturen oder heuristischen Methoden aus.

Die Angriffe von typischen Online-Banking-Spionen wie SpyEye, Zeus und Sinowal verändern die Netzwerkbibliotheken des Internet-Browsers im Arbeitsspeicher – sie klinken sich also etwa beim Internet Explorer in die Funktionen von wininet.dll ein. Auf der Festplatte liegt jedoch immer noch die saubere Originaldatei, modifiziert wird sie erst während der Ausführung im Arbeitsspeicher.

BankGuard erkennt und verhindert die Manipulation der DLL im Arbeitsspeicher.

(Bild: G Data)

BankGuard erstellt eine eigene Kopie der Netzwerk-Bibliotheken und vergleicht sie laufend mit der im Speicher befindlichen Version. Sobald sich ein Trojaner in die die Browser-DLL im Arbeitsspeicher einklinkt (Funktionen "hooked"), erkennt BankGuard die Veränderung und ersetzt den Aufruf der Spionagefunktion durch das Original. Zusätzlich warnt die Software den Benutzer, da der Trojaner unter Umständen nicht entfernt, sondern nur unschädlich gemacht wird.

Somit kann BankGuard einen typischen Weg versperren, das verschlüsselte Online-Banking im Browser zu belauschen und zu manipulieren. Das hilft natürlich nur so lange, bis die Online-Banking-Trojaner sich darauf einstellen und andere Mittel und Wege finden, an den SSL-Verkehr im Klartext zu kommen, bevor er den Rechner verlässt.

BankGuard arbeitet laut GData mit allen Antivirus- und Sicherheits-Suiten zusammen. Die 2012er-Versionen der Sicherheitssoftware von GData enthalten die Technologie bereits. Als Einzelprodukt für Windows, die derzeit Internet Explorer und Firefox schützt, bietet GData BankGuard ab Dezember für 19,95 Euro an. Die Unterstützung für Googles Browser Chrome ist in Planung.

Update: GData informierte uns, dass BankGuard immer versucht den Trojaner zu entfernen, was in den meisten Fällen auch gelinge. Bei noch unbekannte Attacken kann es jedoch vorkommen, dass der Trojaner selbst nicht entfernt werden kann. Durch den Austausch der DLL im Speicher schützt BankGuard in diesem Fall dennoch vor der Schadfunktion. Wir haben die Beschreibung im Text deshalb dahingehend angepasst. (rme) / (ju)