247925

Malware-Spam nutzt FTP-Download

10.03.2008 | 16:07 Uhr |

Vorgebliche Grußkarten-Mails enthalten Links auf Botnet-Rechner, die das File Transfer Protocol (FTP) nutzen statt der bislang üblichen HTTP-Verknüpfungen. Damit sollen Firewalls ausgetrickst werden.

Malware-Verbreiter ändern gerne mal die Taktik, um eine Entdeckung zu vermeiden oder Gegenmaßnahmen auszuhebeln. So sind in kürzlich vom finnischen Antivirus-Hersteller F-Secure abgefangenen Grußkarten-Spams FTP-Links enthalten. Sie führen auf kompromittierte Rechner, die vermutlich zu einem Botnet gehören. Damit sollen Virenscanner und Download-Filter ausgetrickst werden, die Web-Links auf EXE-Dateien scannen oder blockieren.

Die Malware-Forscher von F-Secure berichten in ihrem Blog über Spam-artig verbreitete Grußkarten-Mails, die vorgeblich von einem bekannten Anbieter solcher elektronischen Grüße kommen. Darin heißt es: "You have recieved a Hallmark E-Card. To see it, click here."

Was diese gefälschte Grußkarten-Mail von früheren Beispielen dieser Art unterscheidet, ist der enthaltene Link. Er zeigt zwar wie so oft auf eine IP-Adresse, nutzt dabei jedoch das File Transfer Protocol (FTP) statt des im Web üblichen HTTP (Hypertext Transport Protocol).

Besonders in Unternehmen werden Internet-Zugriffe mit Firewalls, Gateway-Scannern und allerlei Filtern überwacht. Diese verhindern etwa den Download von EXE-Dateien oder senden diese erstmal durch einen Virenscanner. Bei unzureichender Konfiguration werden jedoch nur HTTP-Downloads erfasst, FTP-Verkehr geht ungefiltert durch. Das versuchen die Täter mit diesen Grußkarten-Mails auszunutzen.

Anklicken des Links führt zum Download eine über 1 MB großen EXE-Datei, die den Anschein eines GIF-Bilds erwecken soll, denn der Dateiname lautet "hallmark.gif[1].exe". Es handelt sich hierbei um ein Trojanisches Pferd aus der Zapchast-Familie. Es besteht aus einer Kopie des bekannten IRC-Programms mIRC, das mit präparierten INI-Dateien in einen IRC-Bot verwandelt wird. Meist ist die EXE-Datei von mIRC umbenannt und oft auch noch mit einem Dateivirus wie W32/Parite infiziert.

0 Kommentare zu diesem Artikel
247925