Trojaans paard aast op financiële informatie

Encryptie op banksites helpt niet

30 juni 2004 | Jamie Biesemans Surfers lopen momenteel gevaar om besmet te raken met malafide programma's die het gemunt hebben op persoonlijke gegevens. Een onopgeloste IE-fout zorgt er voor dat dergelijke berichten al de hele week klinken. Maar in de toevloed is één bepaalde trojan toch een aparte vermelding waard: deze doet zijn uiterste best om logingegevens bij banksites te stelen.

Het programma in kwestie is een zogenaamd Trojaans paard: het is een ogenschijnlijk onschuldig iets dat een kwaadaardige applicatie bevat. In dit geval biedt de trojan zich aan via een pop-up en is het vermomd als een GIF-afbeelding. In werkelijkheid is het geen beeldbestand maar bestaat het uit twee malafide programmaatjes, waarschuwt een onderzoeker van het Internet Storm Centre: "Het eerste gedeelte is een file dropper trojan, ontworpen om het bijhorend uitvoerbare bestand te installeren, het tweede is een Win32 DLL die met een willekeurige naam en .DLL-extensie in c:\windows\system32 wordt achtergelaten."

De DLL is niet zomaar een systeembestand, maar een zogenaamde helper. Browser Helper Objects zijn doorgaans legitieme hulpstukken voor Internet Explorer die rechtstreeks samenwerken met de browser. En daar zit het venijn: deze helper registreert alle toetsaanslagen en kan zo persoonlijke informatie doorspelen aan hackers. De gegevens worden opgepikt vooraleer ze gecodeerd worden om veilig te versturen. "De browser encrypteert data niet tussen het toetsenbord en de computer. Ze worden gecodeerd wanneer het via het internet wordt verstuurd", legt Marcus Sachs van Internet Storm Centre uit. Een volledige analyse is hier (PDF) uitgeschreven.