151050

Britney Spears ist noch immer ein guter Köder

27.11.2007 | 16:06 Uhr |

Offenbar sind vermeintliche News über die Pop-Ikone Britney Spears noch immer ein Garant dafür, das Spam-Mails gelesen und darin enthaltene Links angeklickt werden. Denn nach wie vor setzen Malware-Verbreiter auf diesen Köder.

In Spam-artig verbreiteten Mails mit einem Betreff wie "Britney showed it again!" genügt den Verfassern ein einziges Wort, "CLICK", das mit einem Link hinterlegt ist. Dieser führt zu einer Website mit italienischer Adresse, die mit einer Flash-Animation von der bevor stehenden Eröffnung eines Online-Shops kündet - von Britney keine Spur. Im HTML-Quelltext der Seite fällt allerdings eine Menge verwürfelter Javascript-Code auf, der auf Exploits und Malware schließen lässt

Und richtig: im Hauptverzeichnis der Festplatte (C:\) findet sich eine 20 KB große Datei namens "wndrere.exe", die Kontakt mit einem US-Server aufnimmt und von dort eine bei Antivirus-Herstellern bestens bekannte Fassung eines Trojanischen Pferds aus der Pandex-Familie lädt. Die wird zum Beispiel als "507796.exe" im TEMP-Verzeichnis abgelegt, ist 132 KB groß und installiert sogleich ein Rootkit.

Ähnliches meldet der britische Antivirus-Hersteller Sophos. Dessen Direktor Mark Harris berichtet im Unternehmens-Blog von Spam-Mails mit dem Betreff "New Britney naked video", die mit einem schädlichen Anhang daher kommen. Im Text der Mails heißt es "Check zip file in attachment". Wer dem nachkommt und die enthaltene Datei startet, bekommt ebenfalls ein Trojanisches Pferd aus der bei Sophos als "Troj/Pushdo" bezeichneten Pandex-Familie untergeschoben.

Erkennung durch aktuelle Antivirus-Software:

Antivirus

wndrere.exe

507796.exe

AntiVir

Worm/Ntech.V.1

TR/Drop.RKit.EY

Avast!

---

Win32:Agent-NGJ [Wrm]

AVG

Downloader.Agent.14.C

BackDoor.Generic7.XXD (Trojan horse)

A-Squared

---

Rootkit.Win32.Agent.ey

Bitdefender

Trojan.Kobcka.AZ

Rootkit.146

ClamAV

---

Trojan.Agent-6946

Command AV

---

W32/Trojan.AWMI (destructive program)

Dr Web

BackDoor.Bulknet.97

BackDoor.Bulknet

eSafe

---

---

eTrust

--- (Win32/Cutwail.BU)*

Win32/Cutwail!generic

Ewido

---

Rootkit.Agent.ey

F-Prot

---

W32/Trojan.AWMI

F-Secure

---

Rootkit.Win32.Agent.ey

Fortinet

---

W32/Agent.JP!tr

Ikarus

---

Rootkit.Win32.Agent.ey

Kaspersky

Trojan-Downloader.Win32.Agent.fke

Rootkit.Win32.Agent.ey

McAfee

---

Spy-Agent.bv trojan

Microsoft

TrojanDropper:Win32/Cutwail.H

TrojanDropper:Win32/Cutwail.K

Nod32

---

Win32/Wigon.Z trojan

Norman

---

W32/Rootkit.BBQ

Panda

---

W32/Spammer.AEK.worm

QuickHeal

---

Rootkit.Agent.ey

Rising AV

---

RootKit.Win32.Agent.sq

Sophos

Troj/Pushdo-Gen

Troj/DropRk-A

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Smitfraud-C.,,Executable

Sunbelt

---

---

Symantec

---

Trojan.Pandex

Trend Micro

---

---

VBA32

---

BackDoor.Bulknet

VirusBuster

---

Rootkit.Posh.A

WebWasher

Worm.Ntech.V.1

Trojan.Drop.RKit.EY

GData AVK 2007 **

Trojan-Downloader.Win32.Agent.fke

Rootkit.Win32.Agent.ey

Quelle: AV-Test (), Stand: 27.11.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten <BR>
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
151050