19160

Klassentreffen mit Malware

23.06.2008 | 16:28 Uhr |

Einladungen zu Klassentreffen sind sicher für viele interessant. Es gibt jedoch auch welche, die Sie besser ignorieren sollten, weil sie nur der Verbreitung von Malware dienen.

Wer hierzulande eine Einladung zu einem Klassentreffen in englischer Sprache erhält, wird wohl in aller Regel nicht ernsthaft annehmen, sie sei echt. Dennoch versuchen Malware-Spammer mit gefälschten Mails des US-Portals "Classmates", vergleichbar mit "Stayfriends", ihre Opfer in die Falle zu locken. Die falschen Einladungen führen zu einer nachgeahmten Website, die Besuchern ein vorgebliches Flash-Tool aufnötigt.

Die Spam-artig verbreiteten Mails kommen mit einer gefälschten Absenderangabe wie "invitation@classmates.com" und einem Betreff wie "Classmates Sent you an invitation." oder "Do Not Miss Tonight's Classmates Reunion !". Die HTML-formatierten Mails enthalten einen Link auf eine sehr lange Web-Adresse, die wohl das Ziel des Links verbergen soll. Dahinter verbirgt sich eine Imitation der Classmates-Website.

Die Website zeigt ein Bild, das vortäuschen soll, es handele sich dabei um einen Start-Link für ein Video. Die Bildunterschrift unterstützt dies durch den Hinweis, ein "FlashMovie Converter" sei zum Anzeigen erforderlich. Klickt der Besucher darauf oder wartet einfach ein paar Sekunden, startet der Download einer 27 KB großen Datei namens "FlashMovie_v304.exe".

Es handelt sich dabei um Spyware, die im Internet Explorer gespeicherte Passwörter ausspionieren soll. Zur Tarnung des Schädlings kommen Rootkit-Techniken zum Einsatz. Die meisten der in den Mails verknüpften Websites sind mittlerweile nicht mehr erreichbar.

Die Erkennung des Schädlings durch Antivirusprogramme weist noch größere Lücken auf.

Antivirus

Malware-Name

AntiVir

TR/PSW.Papras.zaa

Avast!

---

AVG

---

A-Squared

---

Bitdefender

---

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

W32/Trojan2.ASYF

F-Secure

Trojan-Spy.Win32.Banker.pac

Fortinet

suspicious

G-Data AVK

Trojan-Spy.Win32.Banker.pac

Ikarus

Trojan-PWS.Win32.Papras.zaa

Kaspersky

Trojan-Spy.Win32.Banker.pac

McAfee

Generic PWS.o trojan

Microsoft

VirTool:Win32/Obfuscator.BO (suspicious)

Nod32

---

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Mal/EncPk-DB

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

Symantec

Infostealer.Snifula

Trend Micro

TSPY_PAPRAS.AF

VBA32

---

VirusBuster

---

WebWasher

Trojan.PSW.Papras.zaa


Quelle: AV-Test ( http://www.av-test.de ), Stand: 23.06.2008, 14 Uhr

0 Kommentare zu diesem Artikel
19160