Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
November 2010
19.11.2010 Malware
20.11.2010 Ares
zurück zum Verweis zur nächsten Überschrift Ares: teurer Baukasten

 

10-11-29 
  Ich bin Frau Nora L. Wong Mitarbeiter Lloyds TSB Group Plc. hier in Hong Kong im Private Banking Dienstleistungen angebracht ist.

So stellt sich die unbekannte Frau bei mir vor und bietet mir schließlich an, ich möge Kontakt mit ihr aufnehmen, damit wir zusammen ein grandioses Geschäft abwickeln können. Ein inzwischen verstorbener Kunde habe bei ihrer Bank "USD $ 13.991.674" als Anlage hinterlegt. Das Geld sei in Norwegen angelegt und nur sie könne die Auszahlung freigeben, weil sie alle Hintergründe kenne. Mehr oder weniger deutlich bietet sie mir an, dass wir uns das Vermögen teilen könnten (1).

Der Text klingt so wie einmal durch den Translator gejagt. Mal übersetzt er zu viel (wie oben die "Dienstleistungen", die einfach nur "Service" erwarten ließen), mal zu wenig und mal kommt einfach nur Schrott dabei heraus. Was will man auch mehr von einer Chinesin erwarten, die als Fremdsprache wahrscheinlich nur Englisch gut kann. Und in der Tat habe ich den Eindruck, dass der Urtext englisch war.

Die Methode selber ist von der Nigeria-Connection bekannt und wird Vorschussbetrug genannt.

Interessant ist, dass die (Spam-) Mail ihren Ausgang bei der IP-Adresse 62.92.38.21 hat, die dem "Technoteam Prosjekt AS" in Norwegen gehört (Anschrift: Snarøyveien 31, 1331 Fornebu). Sie ging nur über eine Zwischenstation (telenor.net), um zu meinem Postfachverwalter in Deutschland zu gelangen. Zu der guten Legende passt natürlich auch die konspirative E-Mail-Adresse "wwongwong" bei gmx.com.


Eine Werbenachricht der Staatsanwaltschaft Hannover für Viagra ist auch leider nicht angekommen (oben links).
 

10-11-30 
  Ares ist nicht ausschließlich auf Banking fokussiert. Jede Kopie von Ares ist einzigartig für den Käufer, doch er hat das gleiche Potential im Bereich Banking wie ZeuS und SpyEye, wenn der Kunde diese Funktionen hinzugefügt haben möchte. „Ich betrachte [„Ares“] eher als eine Plattform, die auf jeden Kunden individuell angepasst wird.“ (2)

Zitiert wird von der Entwickler eines neuen, modularen Trojaners mit drei Vertriebsmodellen: Die Vollversion kostet entweder 6.000 $ oder es muss eine Lizenzgebühr bezahlt werden, wenn Ares-Module an Dritte verkauft werden. Dazu gibt es als Draufgabe für "vertrauenswürdige Entwickler" ein eigenes Entwicklungswerkzeug. Ein eingeschränktes und nicht veränderbares Starterkit kostet immerhin noch 850 $ per WebMoney.

Das kriminelle Potential des wandlungsfähigen Trojaners lässt sich noch nicht abschätzen. G Data vermutet, dass er sich wegen seiner Einsatzbreite stark bemerkbar machen wird. Ob er auch stabil im Sinne der Kriminellen sein wird, bleibt abzuwarten. Die Herkunft aus älteren Trojanerbaukästen, die etwa vor zwei, drei Jahren im Umlauf waren, konnten von den Virenscannern recht schnell erkannt und unschädlich gemacht werden.
 

zurück zum Verweis Anmerkungen
 


(1) Zum Text der E-Mail (ZIP-Dokument, verschlüsselt mit dem Klarnamen der Datei)
 

 
(2) Kathrin Beckert, G Data entdeckt potentiellen ZeuS-Nachfolger, 18.11.2010
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 27.11.2010