67016

Malware-Spam: Flash-Spiele mit Promis

30.07.2007 | 16:38 Uhr |

Mails locken mit einen Video-Spiel, in dem bekannte Schauspielerinnen in eindeutig zweideutiger Aktion zu sehen sein sollen. Tatsächlich steckt im Anhang der Mails jedoch ein Trojanisches Pferd.

Wenn Mails ein Spiel mit nackten Tatsachen prominenter Hollywood-Schönheiten versprechen, hat die Sache meist eine Haken. So auch bei seit Ende letzter Woche Spam-artig verbreiteten Mails, die unter anderem mit Namen wie Nicole Kidman, Angelina Jolie oder Natalie Portman locken. Jeweils eine dieser Damen soll, dem Mail-Text nach, in einem Flash-Spiel in pornografischer Weise in Aktion treten. Die Formulierungen in den Mails sind allerdings so direkt, dass die Virenforscher von F-Secure in ihrem Blog einen Teil des Textes einfach weg gelassen haben.

Die Mails kommen mit einem Betreff wie zum Beispiel "Gift" oder "Pictures" sowie mit gefälschten Absenderangaben. Im Anhang befindet sich ein ZIP-Archiv namens "fungame.zip", in früheren Versionen auch "funny.zip". Es enthält eine Datei namens "fungame.exe", die beim Aufruf kein Spiel startet sondern den Download weiterer Malware.

Diese installiert dann einen Spam-Proxy, der sofort mit dem Versand von Spam-Mails beginnt, sowie ein Rootkit aus der Pandex-Familie. Diese Malware-Tarnkappe besteht aus den Treiber-Dateien "runtime.sys" und runtime2.sys", die im Verzeichnis \Windows\system32\drivers abgelegt werden. Der infizierte Rechner wird damit Teil eines Botnets und zur Spam-Schleuder.

Die Erkennung des Mail-Anhangs durch Antivirus-Software ist inzwischen ganz gut:

Antivirus

Malware-Name

AntiVir

TR/Ntech.A

Avast!

Win32:Agent-JSL [Trj]

AVG

Downloader.Agent.OGE

A-Squared

---

Bitdefender

Trojan.Kobcka.A

ClamAV

Trojan.Downloader-12017

Command AV

W32/Downldr2.AOUA

Dr Web

BackDoor.Bulknet

eSafe

Win32.Agent.brk

eTrust

Win32/Cutwail.T

Ewido

---

F-Prot

W32/Downldr2.AOUA

F-Secure

Trojan-Downloader.Win32.Agent.brk

Fortinet

W32/Agent.AUH!tr

Ikarus

Trojan.Win32.Agent.auh

Kaspersky

Trojan-Downloader.Win32.Agent.brk

McAfee

--- (Spy-Agent.bv.dldr)*

Microsoft

Worm:Win32/Nuwar.JU

Nod32

Win32/TrojanDownloader.Agent.BRK

Norman

---

Panda

Suspicious file (Bck/Haxdoor.PL)*

QuickHeal

TrojanDownloader.Agent.brk

Rising AV

---

Sophos

Troj/Agent-FZG

Spybot S&D

---

Symantec

Trojan.Pandex

Trend Micro

TROJ_AGENT.GUU

VBA32

Trojan.Win32.Agent.auh

VirusBuster

Trojan.DL.Agent.Gen.8

WebWasher

Trojan.Ntech.A

GData AVK 2007 **

Trojan-Downloader.Win32.Agent.brk


Quelle: AV-Test , Stand: 30.07.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
67016