Doppelstrategie
Atomunfall oder Partnersuche, jedenfalls Malware
Malware-Spammer zielen gleich mit mehreren verschiedenen Maschen auf die Rechner potenzieller Opfer. Die einen werden mit einem angeblichen Atomunfall gelockt, die anderen mit einer asiatischen Studentin auf Partnersuche.
Bereits im Januar gab es Spam-artig verbreitete Mails, die von einer angeblichen radioaktiven Kontamination in der Schweiz erzählten. Die Masche scheint recht gut funktioniert zu haben, denn sie versuchen es nun wieder damit. Zugleich fahren sie noch eine zweite Masche auf, die auf eine männliche Zielgruppe gerichtet ist. Eine mindestens ebenso angebliche asiatische Studentin ist auf der Suche nach Liebe. Letztlich landen die Empfänger beider Mails beim Anklicken des enthaltenen Links auf demselben Web-Server, nur in unterschiedlichen Verzeichnissen.
Wie bei den Mails über den Schweizer Atomunfall aus dem Januar soll es auch dieses Mal wieder Berichte und Fotos von Augenzeugen auf der Website geben. Diese sieht jedoch eher langweilig aus - kein Wunder, fehlt doch scheinbar ein notwendiges Plug-in für den Browser. Dieses wird dem Besucher sogleich angeboten, die Datei heißt "iPIX-installer.exe".
Dass es sich dabei um Malware und nicht um einen Fotobetrachter handelt, sollte an sich kaum noch jemanden überraschen. Problematisch daran ist jedoch, dass der installierte Virenscanner (fast egal, welcher) keinen Alarm schlägt, wenn man die Datei herunter lädt. Nur einige wenige finden die Datei irgendwie verdächtig, eine auch nur ansatzweise Einordnung in eine Malware-Kategorie oder gar -Familie findet jedoch praktisch nicht statt. Dabei sind die ersten dieser Mails bereits am Mittwoch in den Postfächern aufgeschlagen. Nur Ikarus hat auf einen Hinweis reagiert.
Bei der zweiten Masche stellt sich dem Empfänger eine vorgebliche Studentin vor: "Hallo, ich heiße Alice". Sie sei als Studentin in die Schweiz gekommen und suche einen "Freund und Sexpartner". Wer darauf anspringt und die Website aufruft, findet eine paar Vorschaubilder im Briefmarkenformat, die eine junge Asiatin zeigen. Auch hier findet sich der Hinweis, ein Plug-in sei nötig, um mehr zu sehen. Dabei handelt es sich um dieselbe "iPIX-installer.exe" (Prüfsummen sind identisch) wie auf der ersten Seite.
Dieser lädt weitere Malware aus dem Internet nach und installiert ein Rootkit (ntos.exe, ntdll.dll). Ein Key-Logger spioniert Anmeldedaten für allerlei Online-Dienste aus. Dahinter steckt mutmaßlich die gleiche Bande wie schon bei etlichen anderen Malware-Kampagnen dieser Art in den letzten Monaten.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | --- |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| eSafe | --- |
| eTrust | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | --- |
| Fortinet | --- |
| G-Data AVK | --- |
| Ikarus | Trojan-Downloader.Win32.Zlob.AtomSchweiz |
| Kaspersky | --- |
| McAfee | New Malware.co (trojan or variant) |
| Microsoft | --- |
| Nod32 | --- |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | --- |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | VIPRE.Suspicious |
| Symantec | --- |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Win32.Malware.gen (suspicious) |
Quelle: AV-Test (http://www.av-test.de), Stand: 14.03.2008, 1 Uhr
