229882

Angebliches Nacktvideo installiert Malware

27.05.2008 | 16:11 Uhr |

Nackte Tatsachen ziehen immer, das wissen auch die Verbreiter von Malware aller Art. So gehen sie denn mit Spam-Mails auf Bauernfang, die Videos prominenter Frauen versprechen - oder solche vom Mail-Empfänger selbst.

Eine seit dem Wochenende laufende Spam-Welle mit Malware-Links nutzt die Weiterleitungsfunktion eines bekannten Werbenetzwerks, um die Download-Adressen ihrer Schädlinge zu tarnen. Die Mails setzen auf die Werbeweisheit "Sex sells" und kommen mit einem Betreff wie "Britney and Paris lesbian video", "Hot pictures" oder auch "We caught you naked". Der Mail-Text besteht lediglich aus der knappen Aufforderung "Download and Watch." oder auch nur "Watch", unterlegt mit einem Web-Link.

Dieser Link zeigt zunächst auf das Werbenetzwerk von Doubleclick und nutzt dessen Weiterleitungsfunktion, um eine "video.exe" von einem ganz anderen Server zu laden. Wird diese Datei ausgeführt, installiert sie einen neuen Windows-Dienst sowie ein BHO (Browser Helper Object) im Internet Explorer. Mit diesem BHO lädt der Schädling eine Textdatei aus dem Web, die etliche Web-Adressen beinhaltet.

Wie Michael Tants im Blog von Trend Micro berichtet, werden beim Aufruf den Browsers falsche Sicherheitsmeldungen angezeigt. Diese warnen vor einem vorgeblichen Spyware-Befall des Rechners und fordern zum Download eines Anti-Spyware-Programms auf. Eine weitere Meldung im IE imitiert das Windows Sicherheitscenter, das ebenfalls Spyware-Alarm gibt. Der Desktop-Hintergrund wird durch ein rotes Warnschild ersetzt. Auch dieses bietet den Download vorgeblicher Anti-Spyware an - ein Klick genügt. Wenn der genervte Anwender der Aufforderung Folge leistet, erhält er ein betrügerisches Programm namens "AntiSpySpider".

Vanja Svajcer von Sophos hat offenbar ein anderes Exemplar untersucht, das sogleich mit dem Versand von Spam-Mails beginnt. Dieses kommt als Mail-Anhang namens "xjolie.zip", ein ZIP-Archiv, das den Schädling als "xjolie.scr" enthält. Der Mail-Text verspricht: "I found nude Angelina Jolie! See in attachment!". Das Trojanische Pferd installiert ein Rootkit, um seine Aktivitäten zu tarnen.

Erkennung der Datei "xjolie.scr" durch aktuelle Virenscanner:

Antivirus

Malware-Name

AntiVir

TR/Pakes.cyu.1

Avast!

---

AVG

Downloader.Agent.AGZZ

A-Squared

---

Bitdefender

Trojan.Muldrop.PZF

CA-AV

Win32/Cutwail.HI

ClamAV

Trojan.Dropper-7526

Command AV

W32/Trojan2.ASTV

Dr Web

BackDoor.Bulknet.204

eSafe

---

Ewido

---

F-Prot

W32/Trojan2.ASTV

F-Secure

Trojan.Win32.Pakes.cyu

Fortinet

W32/Agent.CYU!tr

G-Data AVK

Trojan.Win32.Pakes.cyu

Ikarus

Virus.Trojan.Win32.Pakes.cyu

Kaspersky

Trojan.Win32.Pakes.cyu

McAfee

--- (Cutwail trojan)*

Microsoft

TrojanDropper:Win32/Cutwail.AA

Nod32

Win32/Wigon.CB trojan

Norman

---

Panda

--- (Trj/Agent.IVT)*

QuickHeal

---

Rising AV

---

Sophos

Troj/Agent-HAH

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

Symantec

Downloader

Trend Micro

TROJ_QUESEE.A

VBA32

---

VirusBuster

Trojan.Pakes.CZZ

WebWasher

Trojan.Pakes.cyu.1

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 27.05.2008, 15 Uhr

0 Kommentare zu diesem Artikel
229882