Malware-Spam

MSNBC Breaking News als Köder

Donnerstag den 14.08.2008 um 15:42 Uhr

von Frank Ziemann

Die falschen CNN Alerts aus der letzten Woche sind inzwischen durch nicht minder gefälschte Mails ersetzt worden, die vorgeblich vom Nachrichtenportal MSNBC kommen. Auch diese versuchen die Empfänger zum Download eines vermeintlichen Flash Players zu verleiten.

Waren es in der letzten Woche noch vorgebliche Top-10-News von CNN , geben die Spam-Mails in dieser Woche vor von MSNBC zu stammen. Die Absenderangabe lautet regelmäßig "MSNBC Breaking News" und die Mails enthalten Links zu einer Seite auf gehackten Websites, die dem Portal von MSNBC nachempfunden ist.

Der Betreff der Mails beginnt stets mit "msnbc.com - BREAKING NEWS:", gefolgt von einer oft frei erfundenen Schlagzeile. Deren Themen reichen vom US-Wahlkampf über angebliche neue Erkenntnisse aus der Wissenschaft bis zu Finanzmeldungen. Die Mails enthalten einen Link, der nur scheinbar auf "breakingnews.msnbc.com" zeigt, tatsächlich führt er zur einer Seite "msn.html" auf einem von vielen gehackten Web-Servern.

Die Seite zeigt vor allem ein Bild, das dem Besucher vortäuschen soll, ein Flash-video könne nicht angezeigt werden. Es fordert ihn auf den Adobe Flash Player zu installieren. Wer auf den Download-Button klickt, erhält eine 73 KB große Datei namens "adobe_flash.exe", ein Trojanisches Pferd aus der Familie "W32/Exchanger". Es lädt weitere Malware aus dem Internet herunter, um den Rechner in ein Botnet einzureihen.

Die Erkennung der Malware durch aktuelle Antivirusprogramme ist schon recht ordentlich, weist allerdings noch ein paar Lücken auf.

Antivirus
Malware-Name
AntiVir
TR/Dldr.Exchanger.NB
Avast!
---
AVG
I-Worm/Nuwar.W
A-Squared
---
Bitdefender
Trojan.Downloader.Exchanger.Gen.2
CA-AV
Win32/Collet.DU
ClamAV
---
Command AV
---
Dr Web
---
eSafe
File [100] (suspicious)
Ewido
---
F-Prot
---
F-Secure
Trojan-Downloader.Win32.Exchanger.nb
Fortinet
W32/Agent.E!tr.dldr
G-Data AVK
Trojan-Downloader.Win32.Exchanger.nb
Ikarus
Trojan-Downloader.Exchanger.Gen.2
Kaspersky
Trojan-Downloader.Win32.Exchanger.nb
McAfee
--- (BackDoor-DNM trojan)*
Microsoft
TrojanDropper:Win32/Nuwar.gen!ldt
Nod32
Win32/Agent.ETH trojan (variant)
Norman
---
Panda
suspicious file (Trj/Exchanger.Z)*
QuickHeal
Suspicious (warning)
Rising AV
---
Sophos
Mal/EncPk-DA
Spybot S&D
Worldsecurityonline.FakeAlert,Malware,Executable
Sunbelt
---
Symantec
--- (Trojan.Erotpics)*
Trend Micro
TROJ_TIBS.CSZ
VBA32
---
VirusBuster
---
WebWasher
Trojan.Dldr.Exchanger.NB

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 14.08.2008, 12 Uhr

Donnerstag den 14.08.2008 um 15:42 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
248613