Datendiebstahl mal anders

Malware klaut 20.000 Bilder pro PC

09.11.2012 | 10:34 Uhr | Frank Ziemann

Ein kürzlich entdeckter Schädling betreibt Datendiebstahl der etwas anderen Art. Er kopiert nicht etwa Dokumente oder Mail-Adressen sondern Bilder. Er transferiert die ersten 20.000 Bilder, die er auf einem PC findet, auf einen FTP-Server.

Der Antivirushersteller Trend Micro hat kürzlich einen Schädling entdeckt, dessen Programmierer offenbar die Redensart "ein Bild sagt mehr als tausend Worte" verinnerlicht hat. Das "TSPY_PIXSTEAL.A" genannte Trojanische Pferd durchsucht die Festplattenpartitionen C:, D: und E: nach Bilddateien und überträgt die ersten 20.000 gefundenen Bilder via FTP auf einen Server im Internet.

Der Schädling TSPY_PIXSTEAL.A (Avira: BDS/Wasew.A) landet auf dem PC, indem er durch andere Malware nachgeladen wird oder durch einen so genannten Drive-by Download beim Besuch einer manipulierten Website. Die Zugangsdaten für den FTP-Server sowie dessen IP-Adresse sind im Malware-Code enthalten.

Der Schädling sucht nach Dateien mit den Endungen JPG, JPEG und DMP. Während die beiden ersten Dateitypen typischerweise zu Bilder und vor allem Fotos gehören, enthalten DMP-Dateien Speicherabbilder, wie sie Windows bei einem Systemabsturz ("Bluescreen") speichert. Gefundene Dateien werden zunächst nach C:\ kopiert und dann an den FTP-Server geschickt.

Diese eher ungewöhnlichen Vorgehensweise basiert wohl auf der Überlegung, dass Bilddateien oft wertvolle Informationen enthalten können. So gibt es Menschen, die Zugangsdaten als Bild speichern, weil sie dies für sicher halten. Auch können Fotos auf Unternehmensrechnern Einblicke in sonst nicht zugängliche Bereiche gewähren oder vertrauliche Produktinformationen offenbaren.

Trend Micro hat festgestellt, dass der Schädling TSPY_PIXSTEAL.A vor allem auf PCs mit älteren Windows-Versionen zu finden ist. Diese stehen oft in Unternehmen. Daraus ziehen die Malware-Forscher den Schluss, dass die Angriffe vor allem auf Unternehmen zielen, um vertrauliche Informationen zu stehlen. Werden auf Rechnern etwa Scans von Personalausweisen und andere persönliche Fotos gefunden, könnten Social-Engineering-Angriffe, auch auf Privatpersonen, mit besseren Erfolgsaussichten gestartet werden.

1629497