12952

Falsches SmartSurfer-Preisausschreiben

26.11.2007 | 16:15 Uhr |

Mit einem vorgeblich von Web.de veranstalteten Gewinnspiel werden potenzielle Opfer auf eine nachgemachte Website gelockt. Dort sollen sie sich eine mit Malware präparierte Fassung der SmartSurfer-Software herunter laden.

Preisausschreiben sind offenbar nicht nur in der Werbebranche beliebt. Auch die Verbreiter von Malware sind an diesem Wochenende auf diesen Zug aufgesprungen. In Spam-artig verschickten Mails haben sie ein vorgebliches Gewinnspiel von Web.de und dessen Least-Cost-Router-Programm SmartSurfer beworben. Die Mails tragen einen Betreff wie "Riesige Preisverlosung von web.de, finde deinen Preis!" und versprechen als Hauptgewinn einen von zehn "Mercedes-Benz C220 CDI Estate NEW".

Die Mails enthalten einen Link zu einer Website, die der von Web.de nachempfunden ist. Allerdings funktionieren bei der Kopie die Links auf der Seite nicht - bis auf einen. Dieser lädt eine manipulierte Fassung des SmartSurfers auf den Rechner. Neben der LCR-Software von Web.de enthält das 4 MB große Installationsprogramm namens "WEBDE_SmartInstall.exe" auch noch ein Trojanisches Pferd aus der Haxdoor-Familie.

Es installiert ein Rootkit und führt einen Man-in-the-Middle-Angriff gegen Kunden der Postbank aus. Der Schädling hängt sich also zwischen Browser und Postbank-Server und versucht die übertragenen Kundendaten auszuspionieren. Die Erkennung des manipulierten SmartSurfers durch Antivirus-Programme ist auch jetzt noch recht dürftig.

Die falsche Website mit dem vorgeblichen Gewinnspiel ist immer noch aktiv und liefert Malware aus! Folgen Sie also keinesfalls den Links in derartigen Mails.

Erkennung durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

DR/Haxdoor.OJ

Avast!

--

AVG

--

A-Squared

--

Bitdefender

Dropped:Backdoor.Haxdoor.OJ

ClamAV

--

Command AV

--

Dr Web

--

eSafe

--

eTrust

--

Ewido

--

F-Prot

--

F-Secure

--

Fortinet

suspicious

Ikarus

--

Kaspersky

--

McAfee

--

Microsoft

--

Nod32

Win32/Haxdoor.GI trojan (variant)

Norman

--

Panda

Suspicious file

QuickHeal

--

Rising AV

--

Sophos

--

Spybot S&D

--

Sunbelt

--

Symantec

--

Trend Micro

--

VBA32

Embedded.BackDoor.Haxdoor.455 (suspected)

VirusBuster

--

WebWasher

Trojan.Dropper.Haxdoor.OJ

GData AVK 2007 *

--

Quelle: AV-Test ( http://www.av-test.de ), Stand: 26.11.2007, 15 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
12952