186618

Malware-Spam lockt mit Pornos

20.05.2010 | 15:06 Uhr |

Massenhaft verbreitete Spam-Mails ködern potenzielle Opfer mit vorgeblichen Porno-Videos. Sie verbreiten neue Varianten eines Rootkits, das durch Bluescreens nach einem Windows-Update bekannt geworden ist.

Eine alte Regel, die nicht nur Malware-Spammer kennen, besagt, dass nackte Tatsachen immer ziehen. So folgen denn die Verbreiter des Alureon-/TDSS-Rootkits nur konsequent dieser Regel, wenn sie den Empfängern ihrer aktuellen Spam-Mails harte Porno-Videos versprechen, um ihre Schädlinge an den Mann zu bringen.

Im Betreff wie auch im Text der zurzeit verbreiteten Spam-Mails wimmelt es nur so von einschlägigen Fachbegriffen, die Pornokonsumenten bestens bekannt sein dürften. Heimlich im Büro gefilmte Kopulationsszenen gehören dabei noch zu den harmloseren Themen. Die erste Spam-Welle enthält einen 82 KB großen Anhang namens "watch_video.zip", in dem eine gleichnamige EXE-Datei steckt.

Nachfolgende Spam-Wellen kommen ohne Anhang und enthalten stattdessen einen eher kurzlebigen Link auf eine ZIP-Datei, zunächst "video.zip", später "porn.zip" - meist auf Sub-Domains von 110mb.com. Allen enthaltenen EXE-Dateien ist gemeinsam, dass es sich dabei um Malware aus der Familie Alureon/TDSS/Tidserv handelt. Das ist ein Rootkit, das sich zur Tarnung tief ins System eingräbt und Windows-interne Funktionen manipuliert, um nicht entdeckt zu werden.

Das Alureon-Rootkit ist im Februar zu zweifelhaften Ruhm gekommen, weil es für Bluescreens verantwortlich gemacht wurde, die nach der Installation des Windows-Updates aus dem Microsoft Security Bulletin MS10-015 auftraten. Microsoft hat es daraufhin auf die Abschussliste seines Anti-Malware-Tools gesetzt.

Die aktuelle Alureon-Variante aus der ersten Spam-Welle (watch_video) wird inzwischen von den meisten Virenscannern erkannt. Bei der neuesten Variante sieht es hingegen bislang noch nicht so gut aus.

Antivirus

watch_video.exe

porn.exe

AntiVir

TR/TDss.aany

---

Authentium

W32/Trojan3.BUQ

---

Avast

Win32:Trojan-gen

---

AVG

Crypt.VUN (Trojan horse)

Cryptic.TB (Trojan horse)

Bitdefender

Trojan.TDss.ADZ

---

CA-AV

---

Win32/TDSS.H!packed

ClamAV

---

---

Dr.Web

---

---

Eset Nod32

Win32/Olmarik.SC trojan

---

Fortinet

---

---

F-Prot

W32/Trojan3.BUQ

---

F-Secure

---

---

G Data

Trojan.TDss.ADZ

---

Ikarus

Trojan-Dropper.Win32.TDSS

---

K7 Computing

---

---

Kaspersky

Trojan-Dropper.Win32.TDSS.sp

---

McAfee

---

DNSChanger.bf (trojan)

McAfee Artemis

---

DNSChanger.bf (trojan)

McAfee GW Edition

Trojan.TDss.aany

---

Microsoft

---

VirTool:Win32/Obfuscator.EW

Norman

---

---

Panda

---

---

Panda (Online)

---

suspicious

PC Tools

Backdoor.Tidserv

---

QuickHeal

---

---

Rising AV

---

---

Sophos

Troj/Mdrop-CPC

Sus/UnkPack-C (suspicious)

Spybot S&D

---

---

Sunbelt

Trojan.Win32.Generic!BT

Packed.Win32.Tdss.q (v)

Symantec

Backdoor.Tidserv

---

Symantec (Online)

Backdoor.Tidserv

Suspicious.Insight

Trend Micro

TROJ_TDSS.CAI

---

VBA32

---

---

VirusBuster

Trojan.Alureon.Gen.12

---

Webroot

---

---


Quelle: AV-Test ; Stand: 20.05.2010, 13 Uhr

0 Kommentare zu diesem Artikel
186618