26.10.2006, 15:14

Frank Ziemann

Halloween-Website verteilt Malware

Ein Website, die eine Link-Sammlung zum bevorstehenden Halloween-Fest bereit hält, lädt mittels verschiedener Exploits Malware auf anfällige Windows-Rechner.
Wie Ivan Macalintal vom Antivirus-Hersteller Trend Micro im Weblog der Malware-Forscher berichtet, verbreitet eine Halloween-Website allerlei schädlichen Code. Die (zurzeit noch aktive) Website ist unter den vordersten Treffern bei Google, wenn nach Halloween-Themen gesucht wird.
Im HTML-Quelltext finden sich ganz am Ende der Seite zwei IFrames (Inline Frames, eingebettete Frames), die PHP-Seiten von einem russischen Web-Server laden (siehe Bild links). Diese Seiten enthalten verschleiernden Javascript-Code, der dazu dient, eine Web-Seite in das Browser-Fenster zu schreiben, die auch wieder Javascript-Code enthält. Dieser wiederum versucht etliche, teils ältere, teils neuere Sicherheitslücken im Internet Explorer auszunutzen. Damit soll eine Datei "win32.exe" auf den Rechner geladen und ausgeführt werden. Diese lädt weitere Schädlinge nach, die in JPEG-Dateien verborgen sind.

Der Besuch einer harmlos erscheinenden Website mit einem ungepatchten Internet Explorer kann also dazu führen, dass der eigene PC unter die Kontrolle eines russischen Kleinkriminellen gerät. Beim Besuch der Website mit Firefox oder Opera passiert hingegen - in diesem Fall - nichts. Die gute Nachricht ist, dass Google inzwischen eine Warnseite dazwischen schaltet, wenn Sie diese Website über einen Suchtreffer in Google aufrufen.
Erkennung der Datei "win32.exe" durch Antivirus-Software:
Antivirus Malware-Name
AntiVir TR/Crypt.F.Gen
Avast! ---
AVG Downloader.Tibs
BitDefender Trojan.Downloader.Tibs.IR
ClamAV Trojan.Downloader.Small-2964
Command ---
Dr Web Trojan.DownLoader.14309
eSafe Trojan/Worm [101]
eTrust-INO ---
eTrust-VET ---
Ewido Downloader.Tibs.ir
F-Prot ---
F-Secure Trojan-Downloader.Win32.Tibs.ir
Fortinet W32/Tibs.IR!tr.dldr!016
Ikarus ---
Kaspersky Trojan-Downloader.Win32.Tibs.ir
McAfee ---
Microsoft Win32/Vxidl!encrypted
Nod32 Win32/TrojanDownloader.Small.AWA
Norman W32/Tibs.KBP
Panda Adware/Adsmart
QuickHeal ---
Rising ---
Sophos ---
Symantec Trojan.Galapoper.A
Trend Micro TROJ_TIBS.KBP
UNA TrojanDownloader.Win32.Tibs.251E
VBA32 Trojan-Downloader.Win32.Tibs.ir
VirusBuster ---
WebWasher Trojan.Crypt.F.Gen
GData AVK * Trojan-Downloader.Win32.Tibs.ir
Quelle: AV-Test, Stand: 26.10.06, 13:00 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

143896
Content Management by InterRed