Falscher Flash Player
Neue Koobface-Variante macht Facebook unsicher
Eine neue Variante des Koobface-Wurms geht derzeit auf Facebook um. Sie versucht potenzielle Opfer zum Download einer vorgeblichen neuen Version des Adobe Flash Player zu verleiten, in der jedoch der Wurm steckt.
Der Wurm Koobface ist schon seinem Namen nach mit dem sozialen Netzwerk Facebook verknüpft und treibt dort seit einiger Zeit sein Unwesen. Eine neue Variante, die jetzt entdeckt worden ist, versucht potenzielle Opfer mit einem Video zu ködern, für dessen Darstellung sie jedoch vorgeblich ein Update für den Flash Player benötigen. So kommt der Wurm zu seinem nächsten Opfer.
Wie Alex Eckelberry, Chef von Sunbelt Software, im Blog des Unternehmens warnt, versendet der Wurm Mails an die Kontakte eines Facebook-Mitglieds, dessen Rechner schon infiziert ist. Die Mails kommen mit einem Betreff wie "[name] sent you a message on Facebook...". Die Facebook-Nachricht hat die Überschrift "Verry vvery ffunny videoo of youu". Enthalten ist ein Link, der eine Weiterleitungsseite von Facebook öffnet.
Wer auf dieser Seite den Button zum Öffnen der externen Seite anklickt, landet auf einer Web-Seite, die vorgibt ein Video nicht anzeigen zu können. Vorgeblich benötigt der Besucher die Version 10.37 des Adobe Flash Player, die er sich gleich herunter laden soll. Der Download der nur 14 KB großen Datei "setup.exe" schaufelt jedoch den Koobface-Wurm auf den PC. Der verbreitet sich dann von diesem Rechner aus weiter.
Die Erkennung des Wurms durch aktuelle Antivirusprogramme ist noch etwas lückenhaft.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Downloader.Gen |
| Authentium * | --- |
| Avast! | --- |
| AVG | Generic13.AFUX (Trojan horse) |
| Bitdefender | --- |
| CA-AV | --- |
| ClamAV | Worm.Koobface-20 |
| Dr Web | --- |
| Fortinet | PossibleThreat |
| F-Prot | --- |
| F-Secure | --- |
| G-Data AVK 2008 | --- |
| G-Data AVK 2009 | --- |
| Ikarus | Worm.Win32.Koobface |
| ISS VPS | Malicious (Cancelled) |
| K7 Computing | --- |
| Kaspersky | --- |
| McAfee | --- (W32/Koobface.worm)** |
| McAfee Artemis | --- |
| McAfee GW Edition *** | Trojan.Downloader.Gen |
| Microsoft | Worm:Win32/Koobface.gen!D |
| Nod32 | Win32/Genetik trojan (probably variant) |
| Norman | W32/Koobface.BC (Sandbox) |
| Panda | --- |
| Panda (Online) | suspicious |
| QuickHeal | Win32.Backdoor.Phdet.gen!A.3 |
| Rising AV | --- |
| Sophos | Mal/Inet-Fam |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | W32.Koobface.A |
| Trend Micro | --- |
| VBA32 | BScope.Win32.Koobface.2 |
| VirusBuster | --- |
Quelle: AV-Test, Stand: 29.04.2009, 16:00 Uhr
* früher als "Command AV" aufgeführt
** noch nicht in offiziellen Virensignaturen enthalten
*** vormals SecureWeb-GW, Webwasher
** noch nicht in offiziellen Virensignaturen enthalten
*** vormals SecureWeb-GW, Webwasher
