Der Computervirus "Dridex" ist momentan besonders in Deutschland aktiv. Experten zufolge sind hierzulande bereits sechs von zehn Computern in Unternehmen mit dem gefährlichen Trojaner infiziert. Und bald könnten es erheblich mehr sein, denn der Banking-Trojaner verbreitet sich über präparierte Word- oder PDF-Anhänge. Wird der Anhang geöffnet, installiert sich die Schadsoftware automatisch auf dem Computer sofern dieser mit dem Internet verbunden ist.
"Das Besorgniserregende an Dridex ist, dass er erschreckend präzise arbeitet. Sobald der befallene Computer eine Banking-Seite öffnet, greift er in den Datenstrom ein und ändert die legitime Bankseite. Diese Änderungen sehen für den Nutzer so aus, als stammten sie von der Bank", erklärt Ralf Benzmüller, Leiter der G Data SecurityLabs. Das gefährliche an dem Banking-Trojaner: Er wird ständig weiterentwickelt und auf dem neuesten Stand gehalten. Die Methoden, mit denen die Malware per E-Mails an ihr Ziel gelangt, ändern sich kontinuierlich. Immer wieder werden neue, ausgefeiltere Kampagnen entwickelt, um die Angriffe noch effektiver zu machen.
Trojaner nutzt Makros von Microsoft-Office
Der Banking-Trojaner nutzte in jüngster Zeit für seine illegalen Raubzüge die Makro-Funktionen von Microsoft Office. Mit dieser integrierten Programmiersprache lassen sich normalerweise Funktionen von Word automatisieren. Die Word-Datei wird als Zwischenschritt eingefügt, um auf eine präparierte Webseite umzuleiten.
- http://forum.botfrei.de
1. Alle Geräte des Netzwerkes regelmäßig mit der vorhandenen Antivirenlösung im vollständigen Suchlauf überprüfen. - http://forum.botfrei.de
2. Zusätzlich die Rechner mit einem passiven Zweite-Meinung-Scanner wie beispielsweise den kostenfreien EU-Cleanern von Avira und SurfRight (www.botfrei.de/eucleaner.html) überprüfen – gerne auch mit beiden, da diese unterschiedliche Probleme erkennen. - http://forum.botfrei.de
3. Alle Zugangsdaten regelmäßig von einem sicheren und virenfreien Rechner aus ändern, nicht nur die von Server, Webseite und Mailkonto, sondern auch zum Beispiel von Facebook, Amazon, Online-Banking usw. Wenn kein anderer „sauberer” Rechner vorhanden ist, kann dies auch mit einem Linux-Livesystem (http://wiki.ubuntuusers.de/Desktop-CD) oder mit der aktuellen Antibot DVD 3.5.1 (www.botfrei.de/rescuecd.html) über die integrierte Desktopumgebung sicher erfolgen. - http://forum.botfrei.de
4. Darüber hinaus den Browsercheck von Check & Secure (www.check-and-secure.com) durchführen, um zu prüfen, ob der Router Sicherheitslücken aufweist und wie aktuell die installierten Versionen der Browser sowie der darin installierten Plug-Ins sind. - http://forum.botfrei.de
5. Aktuelle Service Packs und Sicherheitsupdates installieren, Software stets aktuell halten und alte Software vom System entfernen. Hierfür gibt es hilfreiche Software-Updater wie den Heimdal Security Agent (http://blog.botfrei.de/tools). - http://forum.botfrei.de
6. Nicht (mehr) benötigte Benutzerkonten löschen/deaktivieren. - http://forum.botfrei.de
7. Vertrauliche Daten verschlüsselt übertragen *und* diese dann auch NUR verschlüsselt in Datenbanken speichern. - http://forum.botfrei.de
8. Software nur aus vertrauenswürdigen Quellen beziehen. - http://forum.botfrei.de
9. Den eigenen Webauftritt regelmäßig auf Manipulationen durch Dritte und Schadcode überprüfen (lassen), zum Beispiel mit www.initiative-s.de. - http://forum.botfrei.de
10. Nicht benötigte Serverdienste deaktivieren und Ports schließen.
Laut einem Bericht von IBM nahm Dridex im letzten Jahr vor allem Online-Banking-Konten von Unternehmen ins Visier. Um möglichst schnell an viel Geld zu kommen, wurden große Geldbeträge auf verschiedene Offshore-Konten verlagert und von dort aus weiter überwiesen. Das besonders Tückische daran: Die Rückverfolgung der Transaktionen ist durch dieses Vorgehen häufig nicht mehr möglich, das Geld für immer verschwunden.
So können Unternehmen sich schützen
Zusätzlich zu bereits bestehenden Soft- oder Hardware-basierenden Schutzmaßnahmen sollten Mitarbeiter, deren Office-Versionen aus dem Jahr 2010 oder früher stammen, in den Sicherheitseinstellungen die Makro-Funktion deaktivieren und auch nur in bekannten Fällen aktivieren. Es ist auch sehr nützlich, wenn man die Ausführung von JavaScript in den PDF-Readern ausschaltet. In den meisten Produkten ist die entsprechende Seite, über die Tastenkombination STRG-H erreichbar.
Der oft standardmäßig genutzte Adobe Reader zeigt in der Regel zumindest einen Warnhinweis an. Nutzer werden dann aufgefordert, dem Öffnen des Inhaltes explizit zuzustimmen. Dieser Aufforderung sollte der Nutzer auf keinen Fall nachkommen. (bw)