Nieuwe variant Trojaans paard 'Feebs' bedreigt webbezoekers

IJsselstein, 7 februari 2006 - Aladdin's Content Security Response Team (CSRT) heeft een nieuwe variant van het Trojaanse paard 'Feebs' ontdekt. JS.Feebs, ook wel de Qhost-variant genoemd, maakt met name gebruik van zogenaamde spoofed websites. Hierbij worden bezoekers van sites automatisch geleid naar een nepversie van de site waar allerlei persoonlijke gegevens worden gevraagd. Eén van de bekendste voorbeelden hiervan is eBay.com.

JS.Feebs laat een scherm zien dat veel lijkt op de homepage van populaire zoekmachines. Hierna volgt een valse foutmelding die zegt dat er geen verbinding gemaakt kan worden met de website. Ondertussen worden beveiligingstoepassingen op de computer van de gebruiker uitgeschakeld.

Het script past het host-bestand van de PC aan. Als dit bestand wordt gewijzigd kan het de default DNS servers overtreffen, waardoor de internet browser het ene adres ontvangt, maar de gebruiker toch naar een andere website leidt. JS.Feebs leidt alle pogingen de eBay-site te bezoeken door naar een eigen, identieke website.

Anders dan klassieke phishing
De aanvallen van JS.Feebs lijken veel op phishing. Maar anders dan bij een 'klassieke' phishing-aanval wordt hier geen phishing e-mail of link gebruikt. De netwerkinstellingen van de geïnfecteerde computer worden zodanig aangepast dat als men naar de site van eBay surft (ongeacht de wijze waarop, bijvoorbeeld door het intikken van het webadres of via favorieten), de bezoeker rechtstreeks wordt geleid naar een nagemaakte site. Dit is niet te zien aan het adres van de website. Als een machine eenmaal is besmet, gebeurt dit iedere keer als de gebruiker de website wil bezoeken.

Zodra de gebruiker op de site zijn gebruikersnaam en wachtwoord heeft ingevoerd, wordt de bezoeker naar de echte eBay-site geleid, geheel onbewust van het feit dat de informatie die hij zojuist heeft ingevoerd, is gestolen. Met deze informatie kunnen hackers gratis goederen bestellen en betaalt het slachtoffer de rekening.

"JS.Feebs is een goed voorbeeld van de groeiende aanwezigheid van gevaarlijke phishing praktijken", vertelt Shimon Gruper, vice president technologie van de eSafe business unit. "Omdat webaanvallen moeilijker te meten zijn dan e-mail gerelateerde aanvallen, verwachten we dat JS.Feebs grote gevolgen heeft voor geïnfecteerde gebruikers. De browser geeft niet langer aan dat men een phishing site bezoekt. Gebruikers merken dus op geen enkele wijze dat hun persoonlijke gegevens in verkeerde handen terecht zijn gekomen."

Gebruikers van Aladdin's zijn volledig beschermd tegen JS.Feebs. Voor meer informatie, kijk op: http://www.aladdin.com/home/csrt/index.asp.

Over Aladdin
Aladdin Knowledge Systems (Nasdaq: ALDN), gevestigd in Tel Aviv (Israël), houdt zich als internationaal marktleider op het gebied van internet- en softwarebeveiliging bezig met oplossingen voor een veilig gebruik en veilige distributie van digitale content: van applicatiesoftware tot en met internetgebruik en -toegang. Aladdins klanten zijn software-vendors en organisaties die hun medewerkers een veilige toegang tot het internet bieden, inclusief bescherming van de eigen bedrijfsinformatie en -productiviteit. Meer informatie is te vinden op Aladdins website www.Aladdin.com of via de Benelux-vestiging van Aladdin in IJsselstein.