Tinba: Avast warnt vor Banking-Trojaner in gefälschtem Microsoft-Utility

Der Sicherheitsanbieter Avast hat eine Malware namens Tiny Banker, kurz Tinba, identifiziert. Bei ihr handelt es sich um eine auf polnische Nutzer abzielende Variante, die sich in einem manipulierten Microsoft-Werkzeug versteckt. Das Programm WinObj kommt ursprünglich aus der Entwicklung der Softwareschmiede Sysinternals, die Microsoft 2006 erworben hatte. Im Gegensatz zur Originaldatei fehlt der gefälschten Version allerdings das Zertifikat.

Die Malware gelangt über als Bilder getarnte E-Mail-Anhänge auf den Rechner. Die E-Mail-Header sehen wie folgt aus:

Anstelle von Bildern finden sich in den Anhängen allerdings die ausführbaren Dateien – IMG-0084(JPEG).JPEG.exe sowie fotka 1.jpeg.exe. Avast hat die Konfigurationsdatei des Trojaners näher untersucht. Darin enthalten sind die Banken, auf deren Kunden die Schadsoftware abzielt. Hierzu gehören die polnischen Kreditinstitute Bank Zachodni WBK, Bank Pekao, BOS Bank, BGZ GNP Paribas, eurobank, GBSBank, mBank, Toyota Bank und Spóldzielcza Grupa Bankowa. Frühere Tinba-Varianten hatten es auch auf weltweit vertretene Banken abgesehen. Dazu zählten unter anderem die Bank of America, UBS, CityBank und HSBC.

Hat Tinba erstmal ein System infiziert, leitet der Trojaner nichtsahnende Nutzer beim Anmelden an ihr Online-Bankkonto auf eine manipulierte Webseite um. Diese fragt im Namen der Bank nach Zugangsdaten oder zeigt eine gefälschte Nachricht an, laut der scheinbar versehentlich überwiesenes Geld, schnellstmöglich zurücküberwiesen werden müsse – natürlich auf das Konto der Kriminellen.

Anwender können sich gegen Tiny Banker durch Installation einer aktuellen Antviren-Lösung schützen. Sie erkennen die Malware und entfernen sie vom System.

[mit Material von Kai Schmerer, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de