1582791

Infektion statt Fotos für Facebook-Nutzer

19.09.2012 | 14:49 Uhr |

Auf Facebook werden derzeit massenhaft Links zu vermeintlichen Fotos publiziert, hinter denen sich jedoch eine Malware-Attacke verbirgt. Der auf diesem Wege eingeschleuste Bot kann sich an Kontakte des Opfers verbreiten und USB-Laufwerke infizieren.

Online-Kriminelle versuchen derzeit in Facebook mit vorgeblichen Bild-Links neugierige Benutzer in eine Malware-Falle zu locken. Im Facebook-Chat werden kommentarlos Links gepostet, die nur scheinbar zu einem Foto führen. Dahinter verbirgt sich eine schädliche Programmdatei. Wer auf den Link klickt, erhält eine Datei, die ausweislich ihres Namens (etwa "DSC10274-JPG") und des Symbols zunächst ein Foto aus einer Digitalkamera zu sein scheint, da Windows bekannte Dateiendungen standardmäßig ausblendet.

Der Antivirushersteller G Data warnt in seinem Blog , bei näherer Untersuchung zeige sich, dass die Dateiendung "SCR" laute, was auf einen Bildschirmschoner deute. Doch solche Bildschirmschonerdateien werden von Windows wie EXE-Dateien behandelt, sind also Programme. In diesem Fall steckt Malware unter dem Tarnkleid – ein IRC-Bot namens "Backdoor.Ircbot.ADKX" oder auch "Win32:SdBot-HER [Trj]".

Beim Öffnen des vermeintlichen Bildes passiert nichts Erkennbares, doch im Hintergrund verbindet sich der Schädling per IRC-Protokoll mit einem Chat-Room. Er erhält darüber Anweisungen, etwa zum Download weiterer Malware. Außerdem kann er eine schädliche Datei namens "autorun.inf" erstellen, um USB-Sticks und andere mobile Medien zu infizieren. Die Täter versuchen zudem an alle Kontakte des Opfers einen Link zum Download des Schädlings zu senden.

Diese Malware-Kampagne ist bereits mindestens einmal variiert worden. Dabei wurde die schädliche Datei neu gepackt, um die Entdeckung durch Antivirusprogramme zu erschweren. Auch der Dateiname wurde geändert. Neue Funktionen können die Täter jederzeit hinzu fügen, indem sie dem Bot per IRC den Befehl zum Download weiterer Komponenten erteilen. Statt Links zu sendspace.com zu verbreiten, können sie auch jederzeit den Datei-Hoster sowie Dateinamen und -typ wechseln.

0 Kommentare zu diesem Artikel
1582791