Neue Trojaner-Welle rollt durch das weltweite Netz

Derzeit verbreiten sich massenhaft Mails in den Posteingängen der Anwender, die darauf hinweisen, dass ein hoher Betrag vom eigenen Konto abgebucht wurde und nun bei einem Online-Casino eingesetzt werden kann. Dahinter verbirgt sich allerdings ein Trojaner. Im Anhang der elektronischen Nachricht soll sich ein Kontoauszug im PDF-Format befinden, den unerfahrene Anwender natürlich sofort öffnen würden. Nach dem Ausführen der Datei wird allerdings ein so genannter Downloader aktiv, der den eigentlichen Schädling von einem Server lädt. Es wird versucht die Dateiendung .exe mit mehreren Leerzeichen zu verstecken.

Damit die Virenscanner den Schädling nicht entdecken, wird er innerhalb von kurzen Abständen auf dem Server ausgetauscht. Auch den Download der Schädlinge registrieren die meisten Anwender nicht, da er nur sehr klein ist.

Nach dem Download befindet sich der Trojaner im temporären Ordner von Windows. Wird die Datei tro.exe ausgeführt, installiert sich das Schadprogramm als Browser-Helper-Object (BHO) und legt die Datei routemon.dll im System32-Verzeichnis an. Der Trojaner hat es dann auf die sensiblen Daten des Anwenders abgesehen.