Getarnte Weiterleitung
Flash-Dateien verbergen Malware-Links
Der neueste Trick der Malware-Spammer sind Links auf Flash-Dateien, die auf einem unverdächtigen Server abgelegt sind. Der einzige Zweck dieser Dateien ist die sofortige Weiterleitung auf einen Malware-Download.
Bereits seit ein paar Wochen laufen im großen Stil Spam-Kampagnen, die eine betrügerische Antivirus-Software unters Volk bringen sollen. Derzeit sind diese Mail als vorgebliche Update-Benachrichtigung für Windows getarnt, die sich als MSN-Newsletter ausgibt. Neuere Exemplare enthalten statt eines direkten Links auf eine EXE-Datei einen Link auf eine Flash-Datei (SWF), die auf einem legitimen und somit unverdächtigen Bilder-Server liegen.
Die Flash-Dateien werden derzeit in großer Zahl beim Bilderdienst ImageShack abgelegt, damit die Mails nicht in den Spam-Filtern hängen bleiben, die Mails mit verdächtigen Links aussortieren. Aus dem gleichen Grund haben Spammer bereits früher Weiterleitungsseiten von Google und anderen missbraucht.
Werden die Links in den Mails aufgerufen, erscheint eine Seite mit farbigem Hintergrund und einer sinnlosen Buchstabenfolge im Browser-Fenster. Außerdem startet automatisch der Download einer Datei namens "install.exe" - je nach Browser und dessen Einstellungen erfolgt noch eine Abfrage oder auch nicht. Die Firefox-Erweiterungen NoScript oder FlashBlock können zwar vor der Ausführung von Flash schützen, nicht jedoch vor dem Download der Malware-Datei (oder was immer eine Flash-Datei anstellt), falls man Flash erlaubt hat.
Die EXE-Datei liegt auf einem Server in Moldawien, der nur über seine IP-Adresse angesprochen wird. Wird die Datei ausgeführt, installiert sie eine betrügerische Antivirus-Software. Diese meldet vorgeblich gefundene Malware und nötigt den Anwender hartnäckig zum Erwerb der ebenso teuren wie nutzlosen Vollversion.
Die EXE-Datei auf dem moldawischen Server wurde bereits mehrfach durch eine neue ersetzt. Aktuelle Antivirusprogramme erkennen die älteren Fassungen deutlich besser als die jeweils neueste. Derzeit liegt eine neue, nur noch 40 KB große Fassung auf dem Server, die bislang nur mäßig erkannt wird. Möglicherweise hat sie auch eine andere Funktion als die bisherigen, zum Beispiel das Rekrutieren neuer Zombie-PCs für ein Botnet.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Joleee.K |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | --- |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.Packed.573 |
| Ewido | --- |
| Fortinet | suspicious (W32/Proxy.IP!tr)* |
| F-Prot | --- |
| F-Secure | Email-Worm.Win32.Joleee.k |
| G-Data AVK | Email-Worm.Win32.Joleee.k |
| Ikarus | Email-Worm.Win32.Joleee.k |
| K7 Computing | --- |
| Kaspersky | Email-Worm.Win32.Joleee.k |
| McAfee | --- (BackDoor-CWM)* |
| Microsoft | --- |
| Nod32 | --- |
| Norman | --- |
| Panda | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/Proxy-IP |
| Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
| Sunbelt | --- |
| Symantec | --- (Trojan Horse)* |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Worm.Joleee.K |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 29.08.08, 13:30 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 29.08.08, 13:30 Uhr
