Beveiligingsonderzoekers hebben een Trojaans paard ontdekt dat het op online beleggers heeft voorzien, waaronder klanten van ING Direct. De Tigger Trojan werd voor het eerst in november 2008 ontdekt en heeft sindsdien zeker 250.000 Windows systemen besmet. Toen onderzoekers voor het eerst tegen de malware aanliepen herkende nog geen enkele virusscanner die, een maand later had slechts één scanner de zaakjes op orde, te weten AntiVir. Een mogelijke reden is dat Tigger over rootkit functionaliteit beschikt.

De malware is speciaal ontwikkeld om gegevens van online beleggers en aandelenhandelaren te stelen. Het gaat dan om klanten van ING Direct ShareBuilder, E-Trade, Vanguard, Options XPress, TD Ameritrade en Scottrade. Tigger is daarnaast het eerste Trojaans paard dat een beveiligingslek in Windows misbruikt dat Microsoft halverwege oktober met beveiligingsbulletin MS08-66 patchte. Het gaat hier om een lek waardoor een aanvaller zijn rechten kan verhogen. Dit stelt de aanvaller in staat om toch adminrechten te verkrijgen, ook al is de gebruiker niet als administrator ingelogd.

Mysterie
Analisten van iDefense vermoeden dat de makers van het Srizbi botnet ook bij dit Trojaanse paard zijn betrokken. Voor het installeren van de rootkit gebruikt Tigger een speciale sleutel, die bijna identiek is aan de sleutel die het Srizbi botnet gebruikt voor het genereren van domeinnamen. Dit kan toeval zijnl, maar het is opmerkelijk dat een Trojaans paard, ontworpen om gegevens te stelen, ook andere malware verwijdert. Dit is veel vaker het geval bij bots die geen concurrentie dulden.

De grote vraag blijft echter hoe de malware zich verspreidt. "Het enge is dat we niet echt weten hoe Tigger wordt gedistribueerd. Ik heb al vaker informatie stelende malware onderzocht en dit is de eerste in lange tijd die de moeite neemt om andere malware te verwijderen", aldus analist Michael Ligh.