Hanau, 15. November 2013

Der IT-Sicherheitsspezialist Doctor Web warnt vor einer massenhaften Verbreitung der BackDoor.Caphaw-Trojaner, welche die Benutzer über böswillige Links in Skype-Nachrichten aus Neugier herunterladen können. BackDoor.Caphaw klaut Kundendaten für Online-Banking-Systeme sowie andere sensible Daten, die auf Benutzer-PCs gespeichert sind.

Unseren Statistiken zufolge greift BackDoor.Caphaw die Benutzer schon seit einem Jahr an. Der Schädling verbreitet sich hauptsächlich über Sicherheitslücken (Exploits in BlackHole) sowie seine Kopien auf System- und Datenträgern. Seit Mitte Oktober 2013 gibt es vermehrt Fälle, wo Benutzer über massenhaft versendete Skype-Nachrichten durch BackDoor.Caphaw infiziert wurden. Vom 5. bis zum 14. November war der Versand von böswilligen Links besonders massiv. Die Übeltäter versenden Skype-Nachrichten, um Benutzer-PCs zu infizieren, und benutzen dafür Benutzerkonten der bereits infizierten Personen. Die böswilligen Nachrichten enthalten einen Link zum Archiv invoice_ХХХХХ.pdf.exe.zip, wo ХХХХХ eine beliebige Zahl sein kann. Das Archiv enthält eine ausführbare Datei, die nichts Anderes ist als BackDoor.Caphaw.

Nachdem sich der Schädling im System gestartet hat, erstellt er eine Kopie mit einem beliebigen Namen und modifiziert den Systemregistry-Schlüssel, der für das automatische Starten von installierten Programmen verantwortlich ist. Dabei setzt der Trojaner verschiedene Evasion-Techniken ein.

Wenn sich BackDoor.Caphaw erfolgreich eingenistet hat, versucht er in laufende Prozesse einzudringen, indem er eine Verbindung zum Server der Übeltäter herstellt. Der Trojaner überwacht Aktivitäten des Benutzers, u.a. Verbindungen zu verschiedenen Online-Banking-Systemen. Nachdem BackDoor.Caphaw eine solche Verbindung hergestellt hat, kann er fremde Inhalte in Nachrichten platzieren und die vom Benutzer eingegebenen Daten abfangen.

Der Backdoor nimmt auch Videos auf und überträgt diese als RAR-Archiv auf den Server der Übeltäter. Darüber hinaus kann BackDoor.Caphaw zusätzliche Module, die FTP-Passwörter klauen, einen VNC-Server einrichten und den Bootsektor mit einem MBR-Bootkit infizieren, von einem Remote-Server herunterladen und starten. Der Schädling ist auch mit einem Modul ausgerüstet, das böswillige Links über Skype automatisch versendet.

Dr.Web Antivirus detektiert die Bedrohung und löscht BackDoor.Caphaw, wenn er ins geschützte System eindringen will.

Bitte beachten Sie, dass es sich sogar bei Skype-Nachrichten von Verwandten und Freunden um BackDoor.Caphaw handeln kann! Wenn Ihr Computer infiziert wurde, laden Sie Ihr Betriebssystem im sicheren Modus und prüfen Sie es mit Dr.Web CureIt! oder benutzen Sie Dr.Web LiveCD.