Trend Micro Netzwerkadapter
| Hersteller: | Trend Micro |
|---|---|
| Kategorie: | Netzwerkkarte |
| Preise: | - |
| Testnote: | - |
| Leserwertung: |
Malware-Falle Promi-Videos
Angebliches Nacktvideo installiert Malware
Nackte Tatsachen ziehen immer, das wissen auch die Verbreiter von Malware aller Art. So gehen sie denn mit Spam-Mails auf Bauernfang, die Videos prominenter Frauen versprechen - oder solche vom Mail-Empfänger selbst.
Eine seit dem Wochenende laufende Spam-Welle mit Malware-Links nutzt die Weiterleitungsfunktion eines bekannten Werbenetzwerks, um die Download-Adressen ihrer Schädlinge zu tarnen. Die Mails setzen auf die Werbeweisheit "Sex sells" und kommen mit einem Betreff wie "Britney and Paris lesbian video", "Hot pictures" oder auch "We caught you naked". Der Mail-Text besteht lediglich aus der knappen Aufforderung "Download and Watch." oder auch nur "Watch", unterlegt mit einem Web-Link.
Dieser Link zeigt zunächst auf das Werbenetzwerk von Doubleclick und nutzt dessen Weiterleitungsfunktion, um eine "video.exe" von einem ganz anderen Server zu laden. Wird diese Datei ausgeführt, installiert sie einen neuen Windows-Dienst sowie ein BHO (Browser Helper Object) im Internet Explorer. Mit diesem BHO lädt der Schädling eine Textdatei aus dem Web, die etliche Web-Adressen beinhaltet.
Wie Michael Tants im Blog von Trend Micro berichtet, werden beim Aufruf den Browsers falsche Sicherheitsmeldungen angezeigt. Diese warnen vor einem vorgeblichen Spyware-Befall des Rechners und fordern zum Download eines Anti-Spyware-Programms auf. Eine weitere Meldung im IE imitiert das Windows Sicherheitscenter, das ebenfalls Spyware-Alarm gibt. Der Desktop-Hintergrund wird durch ein rotes Warnschild ersetzt. Auch dieses bietet den Download vorgeblicher Anti-Spyware an - ein Klick genügt. Wenn der genervte Anwender der Aufforderung Folge leistet, erhält er ein betrügerisches Programm namens "AntiSpySpider".
Vanja Svajcer von Sophos hat offenbar ein anderes Exemplar untersucht, das sogleich mit dem Versand von Spam-Mails beginnt. Dieses kommt als Mail-Anhang namens "xjolie.zip", ein ZIP-Archiv, das den Schädling als "xjolie.scr" enthält. Der Mail-Text verspricht: "I found nude Angelina Jolie! See in attachment!". Das Trojanische Pferd installiert ein Rootkit, um seine Aktivitäten zu tarnen.
Erkennung der Datei "xjolie.scr" durch aktuelle Virenscanner:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Pakes.cyu.1 |
| Avast! | --- |
| AVG | Downloader.Agent.AGZZ |
| A-Squared | --- |
| Bitdefender | Trojan.Muldrop.PZF |
| CA-AV | Win32/Cutwail.HI |
| ClamAV | Trojan.Dropper-7526 |
| Command AV | W32/Trojan2.ASTV |
| Dr Web | BackDoor.Bulknet.204 |
| eSafe | --- |
| Ewido | --- |
| F-Prot | W32/Trojan2.ASTV |
| F-Secure | Trojan.Win32.Pakes.cyu |
| Fortinet | W32/Agent.CYU!tr |
| G-Data AVK | Trojan.Win32.Pakes.cyu |
| Ikarus | Virus.Trojan.Win32.Pakes.cyu |
| Kaspersky | Trojan.Win32.Pakes.cyu |
| McAfee | --- (Cutwail trojan)* |
| Microsoft | TrojanDropper:Win32/Cutwail.AA |
| Nod32 | Win32/Wigon.CB trojan |
| Norman | --- |
| Panda | --- (Trj/Agent.IVT)* |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/Agent-HAH |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | --- |
| Symantec | Downloader |
| Trend Micro | TROJ_QUESEE.A |
| VBA32 | --- |
| VirusBuster | Trojan.Pakes.CZZ |
| WebWasher | Trojan.Pakes.cyu.1 |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 27.05.2008, 15 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 27.05.2008, 15 Uhr
