Malware-Spam

MSNBC Breaking News als Köder

Donnerstag den 14.08.2008 um 15:42 Uhr

von Frank Ziemann

Die falschen CNN Alerts aus der letzten Woche sind inzwischen durch nicht minder gefälschte Mails ersetzt worden, die vorgeblich vom Nachrichtenportal MSNBC kommen. Auch diese versuchen die Empfänger zum Download eines vermeintlichen Flash Players zu verleiten.
Waren es in der letzten Woche noch vorgebliche Top-10-News von CNN , geben die Spam-Mails in dieser Woche vor von MSNBC zu stammen. Die Absenderangabe lautet regelmäßig "MSNBC Breaking News" und die Mails enthalten Links zu einer Seite auf gehackten Websites, die dem Portal von MSNBC nachempfunden ist.

Der Betreff der Mails beginnt stets mit "msnbc.com - BREAKING NEWS:", gefolgt von einer oft frei erfundenen Schlagzeile. Deren Themen reichen vom US-Wahlkampf über angebliche neue Erkenntnisse aus der Wissenschaft bis zu Finanzmeldungen. Die Mails enthalten einen Link, der nur scheinbar auf "breakingnews.msnbc.com" zeigt, tatsächlich führt er zur einer Seite "msn.html" auf einem von vielen gehackten Web-Servern.

Die Seite zeigt vor allem ein Bild, das dem Besucher vortäuschen soll, ein Flash-video könne nicht angezeigt werden. Es fordert ihn auf den Adobe Flash Player zu installieren. Wer auf den Download-Button klickt, erhält eine 73 KB große Datei namens "adobe_flash.exe", ein Trojanisches Pferd aus der Familie "W32/Exchanger". Es lädt weitere Malware aus dem Internet herunter, um den Rechner in ein Botnet einzureihen.

Die Erkennung der Malware durch aktuelle Antivirusprogramme ist schon recht ordentlich, weist allerdings noch ein paar Lücken auf.

Antivirus Malware-Name
AntiVir TR/Dldr.Exchanger.NB
Avast! ---
AVG I-Worm/Nuwar.W
A-Squared ---
Bitdefender Trojan.Downloader.Exchanger.Gen.2
CA-AV Win32/Collet.DU
ClamAV ---
Command AV ---
Dr Web ---
eSafe File [100] (suspicious)
Ewido ---
F-Prot ---
F-Secure Trojan-Downloader.Win32.Exchanger.nb
Fortinet W32/Agent.E!tr.dldr
G-Data AVK Trojan-Downloader.Win32.Exchanger.nb
Ikarus Trojan-Downloader.Exchanger.Gen.2
Kaspersky Trojan-Downloader.Win32.Exchanger.nb
McAfee --- (BackDoor-DNM trojan)*
Microsoft TrojanDropper:Win32/Nuwar.gen!ldt
Nod32 Win32/Agent.ETH trojan (variant)
Norman ---
Panda suspicious file (Trj/Exchanger.Z)*
QuickHeal Suspicious (warning)
Rising AV ---
Sophos Mal/EncPk-DA
Spybot S&D Worldsecurityonline.FakeAlert,Malware,Executable
Sunbelt ---
Symantec --- (Trojan.Erotpics)*
Trend Micro TROJ_TIBS.CSZ
VBA32 ---
VirusBuster ---
WebWasher Trojan.Dldr.Exchanger.NB

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 14.08.2008, 12 Uhr

Donnerstag den 14.08.2008 um 15:42 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
248613