Malware-Spam
Nackte Promis locken in die Malware-Falle
Derzeit werden die Postfächer mit Spam-Mails geflutet, die frei erfundene Neuigkeiten zu Britney Spears sowie Nacktbilder verheißen. Die Mails enthalten Links, die zum Download eines Trojanischen Pferds führen.
Nackte Tatsachen sind ein guter Köder und Promis ziehen auch immer - diese Erfahrung haben Malware-Spammer längst verinnerlicht. Sie nutzen also gerne beides, möglichst noch in Kombination, um potenzielle Opfer zum Download von Malware zu verleiten. So grassieren zurzeit Spam-Mails, die allerlei frei erfundene Neuigkeiten über Britney Spears versprechen und viel blanke Haut noch dazu. Die enthaltenen Links zeigen allerdings direkt auf eine EXE-Datei, bei der es sich um ein Trojanisches Pferd handelt.
Die Mails kommen mit einem Betreff wie "Britney Spears and Kevin Federline hot home video", "Britney Spears nude", "Britney Spears and Brad Pitt sex tape" oder "Britney Spears is dating Obama", um nur ein paar Beispiele zu nennen. Die Mails enthalten eine Verknüpfung mit einer Bilddatei, die aus dem Web nachgeladen wird. Dabei handelt es sich um ältere Fotos, die Britney Spears mehr oder weniger entblößt zeigen.
Darunter steht eine Aufforderung wie "Click to watch" oder "Download VIDEO" zum Anklicken des Links auf, der direkt auf eine Datei namens "mov.exe" zeigt. Sie liegt auf einer gehackten Website, während die Fotos von einer anderen Website geladen werden. Die EXE-Datei ist ein Trojanisches Pferd aus der Familie "Win32.Exchanger", das den Rechner für ein Botnet rekrutiert.
Die Erkennung des Schädlings durch Antivirusprogramme ist bereits recht gut. Einige Hersteller rechnen ihn anscheinend der Familie des Sturm-Wurms ("Nuwar") zu.
Die Erkennung des Schädlings durch Antivirusprogramme ist bereits recht gut. Einige Hersteller rechnen ihn anscheinend der Familie des Sturm-Wurms ("Nuwar") zu.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XPACK.Gen |
| Avast! | Win32:PrefPoly [Cryp] |
| AVG | I-Worm/Nuwar.W |
| A-Squared | --- |
| Bitdefender | Trojan.Downloader.Exchanger.AB |
| CA-AV | --- (Win32/Collet.DY)* |
| ClamAV | --- |
| Command AV | W32/Downldr2.DIHQ (security risk) |
| Dr Web | Trojan.Packed.606 |
| Ewido | --- |
| Fortinet | W32/RougeAVLdr.C!tr.dldr |
| F-Prot | --- |
| F-Secure | Trojan-Downloader.Win32.Exchanger.pf |
| G-Data AVK | Trojan-Downloader.Win32.Exchanger.pf |
| Ikarus | Trojan-Dropper.Win32.Nuwar.ldt |
| K7 Computing | --- |
| Kaspersky | Trojan-Downloader.Win32.Exchanger.pf |
| McAfee | --- (Tibs-Packed)* |
| Microsoft | TrojanDownloader:Win32/Cbeplay.gen!E |
| Nod32 | Win32/Agent.ETH trojan |
| Norman | --- |
| Panda | --- (W32/Nuwar.YN.worm)* |
| QuickHeal | TrojanDownloader.Exchanger.pf |
| Rising AV | --- |
| Sophos | Mal/EncPk-DA |
| Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
| Sunbelt | --- |
| Symantec | --- (Trojan Horse)* |
| Trend Micro | TROJ_NUWAR.AHE |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Crypt.XPACK.Gen |
* noch nicht in den offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 20.08.08, 15:30 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 20.08.08, 15:30 Uhr
