Sicherheitsforscher von Palo Alto Networks warnen vor dem Trojaner T9000, von dem ausschließlich Windows-Nutzer bedroht sein sollen, der sich in Skype einklinken und Videotelefonate aufzeichnen kann. Es ist nicht bekannt, Inwieweit der Schädling aktuell grassiert.

Opfer müssen, damit T9000 Computer befallen kann, präparierte RTF-Dokumente öffnen, was gelingen kann, indem ein Angreifer mittels einer glaubhaft formulierten E-Mail Nutzer dazu bringt, den Dateianhang zu öffnen.

Der Trojaner nutzt, wenn das Dokument geöffnet wird, zwei als kritisch eingestufte Sicherheitslücken in Microsoft Office aus. Seitens Microsoft wurden die Schwachstellen mit den Bezeichnungen CVE-2012-1856 und CVE-2015-1641 aber schon geschlossen. Wer Windows Update nutzt, ist also auf der sicheren Seite.

Die Kryptologen berichten, dass Angreifer Speicherfehler provozieren können, um eigenen Code aus der Ferne auszuführen, wenn die Lücken noch klaffen. 24 Viren-Wächter von etwa Avira und Sophos sollen während dieses Vorgangs T9000 erkennen können. Die Malware sei anschließend in der Lage, den Installationsprozess, um Schutz-Anwendungen auszutricksen, individuell anzupassen.

Hat sich T9000 erfolgreich im System verankert, beginnt der Schnüffel-Trojaner seine Arbeit, bei der er es vor allem auf Skype-Nutzer abgesehen hat. T9000 braucht allerdings, um sich im Messenger einzuklinken, Zugriff auf die Skype API. Dafür wird betroffenen Nutzern ein Dialog präsentiert, in dem der Trojaner getarnt als explorer.exe fragt, ob er auf Skype zugreifen darf.

Fällt ein Nutzer darauf rein, kann der Trojaner etwa Gespräche, Videotelefonate und Chats mitschneiden. T9000 soll zudem von bestimmten Office-Dokumenten Kopien machen können, erläutert Paolo Alto Networks.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE