Eine neue Version eines Schadprogramms, das auch in der Lage ist, Dateien zu befallen, kann nun auch FTP-Login-Details entwenden, so die Forscher der Virenschutzsoftwarefirma Trend Micro. Das FTP-Protokoll zeichnet alle Daten vom Server zum Internetnutzer selbst auf, beinhaltet also sehr anfällige und wichtige Daten.

Die Software verteilt sich über Attacken beim Herunterladen von Dateien. Die neu entdeckte Variante ist Teil der PE_EXPIRO-Familie, die bereits im Jahr 2010 entdeckt wurde und seitdem Thema bei Fragen der Internetsicherheit ist.

Der Befall läuft in der Regel folgendermaßen ab: Internetnutzer werden auf Internetseiten bzw. Homepages gelockt, die Java oder PDF verwenden. Wenn nun die Browser-Plugins des betreffenden Nutzers nicht auf dem neuesten Stand sind, installiert sich die Malware.

Ist die Malware erst einmal auf dem jeweiligen Computer installiert, sucht sie sich alle .exe Dateien in dem System. Ob auf lokalen, externen oder sogar Festplatten, die über das Netzwerksystem mit dem Computer verbunden sind, die Schadsoftware macht die genannten Dateien ausfindig und fügt ihnen den böswilligen Code hinzu. Außerdem sammelt sie Informationen über das Betriebssystem des Computers und deren Nutzer, inklusive Windows-Log-in-Daten.

Im letzten Schritt kommt es dann zum Diebstahl der FTP-Protokolle über den Open-Source-FTP-Klienten FileZilla. Die geklauten Informationen werden schlussendlich in einer .DLL-Datei gespeichert und auf die Festplatten der Server hochgeladen, welche die Malware kontrollieren.

Die Art und Weise, wie die Software arbeitet, legt nahe, dass es keine Selbstproduktion eines einzelnen Hackers mit Langeweile war, so ein Forscher von Trend Micro. Bei der Schaftsoftware werden Tools genutzt, die über den Standard deutlich hinausgehen.

Nach weiteren Informationen der Firma Trend Micro war im Juli 2011 eine besonders große Verbreitung der EXPIRO-Variante vorhanden. Allerdings berichten die Forscher, dass über siebzig Prozent der befallenen Computer in den USA stünden.

Bis jetzt konnte nicht endgültig geklärt werden, was mit dem Diebstahl der FTP-Daten erreicht werden soll. Entweder versuchen sie, Internetseiten zu beschädigen oder Informationen von Organisationen zu entwenden, die auf den FTP-Servern gespeichert sind. Allerdings konnte sich bis zu diesem Zeitpunkt noch keine Industrie als vorrangiges Angriffsziel hervortun.

Artikel von computerworld.com, 15.07.2013: Unusual file-infecting malware steals FTP credentials
Artikel von infosecurity-magazine.com, 15.07.2013: EXPIRO File Infector Variant Presents Unusual Threat Combo