Trojan-PSW:W32/CoinBit.A: Trojaner stiehlt Bitcoin-Wallet [entschärft]

18. Juni 2011 | Von | Kategorie: Sicherheit

Wie nicht anders zu erwarten war, haben auch die Malware-Autoren den Bitcoin erkannt und es auf ihn abgesehen. Im F-Secure Weblog wurde heute Nacht der Fund des CoinBit.A-Trojaners gemeldet.

Bitcoin-Virus CoinBit_ATrojan-PSW:W32/CoinBit.A, so die volle Bezeichnung, sucht direkt nach der Bitcoin-Wallet-Datei unter %Documents and Settings%\AppDataRoamingBitcoinwallet.dat. Er versucht dann sofort, die Datei über einen polnischen Mail-Server-Account (gaehrthsrth@wp.pl) an die Hotmail-Adresse blundcoder@hotmail.com zu senden. Der Trojaner ist das Werk eine Anfängers. Zuerst einmal ist die Programmoberfläche mehr als primitiv gestaltet, vor allem aber sind Server- und Hotmail-Adresse weder dynamisch noch verschlüsselt im Trojaner-Programmcode enthalten, sondern „hard coded“. Auf diese Weise konnte F-Secure den Ursprung des Schädlings leicht im Chat-Bereich des Bitcoin-Forums ausfindig machen. F-Secure hat im Blog auch das oben zu sehende Bild des Trojan-PSW:W32/CoinBit.A veröffentlicht.

Der Name „blundcoder“ deutet übrigens auf ein Mitglied der Hackergruppe „Devil Team“ hin und findet sich relativ häufig in einschlägigen Foren für Exploits, Cheats und Bots für Spiele. Im Forum http://www.haker.com.pl taucht darüber hinaus eine weitere Verbindung der beiden oben genannten E-Mail-Adressen im Zusammenhang mit der Schadsoftware NastyXP Beta 9 auf: Ihr Schöpfer ist erreichbar unter blundcoder@wp.pl, was wiederum eine gültige E-Mail-Adresse beim polnischen Provider Wirtualna Polska ist.

Übrigens: Das Wort „blund“ hat im polnischen vermutlich keine Bedeutung, ist aber das schwedische Wort für „zwinkern“ und das norwegische Wort für „schlummern“.

Tipp von BitcoinNews.org: Der Schädling kann nur Windows-Rechner befallen. Windows-Anwender, insbesondere sich wenn ein Bitcoin-Wallet auf dem PC befindet, sollten keinesfalls ohne einen guten Virenscanner samt aktueller Signaturen im Internet unterwegs sein. Und Software von Unbekannten aus nicht-üblichen Quellen sollte sowieso niemals installiert werden.

[Update] Mittlerweile wurde angeblich das Passwort des Mail-Accounts auf dem polnischen Server geändert, so dass Trojan-PSW:W32/CoinBit.A dort keine Mails mehr versenden kann.

Schlagworte: , , , , ,

Schreibe einen Kommentar