171122

Vorgebliche CNN-News mit falschem Flash Player

07.08.2008 | 15:43 Uhr |

Nachdem Spam-Mails mit Sensationsmeldungen im Betreff offenbar ausgedient haben, werden nun Mails mit vorgeblichen "Top10" News unter falscher Flagge von CNN verbreitet, um die Empfänger auf gehackte und mit Malware präparierte Websites zu locken.

Die Malware-Spammer haben die die Taktik gewechselt und verbreiten ihre Malware-Links nun mittels Mails, die als vorgebliche CNN-Newsletter getarnt sind. Die Mails kommen stets mit der Absenderangabe "Daily Top 10" und dem Betreff "CNN.com Daily Top 10", die wechselnden Absenderadressen sind gefälscht. Die Mails sind HTML-formatiert und enthalten eine scheinbare News-Übersicht. Darin ist jede Schlagzeile mit einem Link zu der gleichen Seite versehen.

Diese Seiten liegen auf weltweit verstreuten, gehackten Websites - auch etliche DE-Domains sind darunter. Auf diesen Seiten wird dem Besucher erklärt, er benötige eine neuere Version von Adobes Flash Player, egal welche Version er tatsächlich hat. Der Download einer etwa 78 KB großen Datei namens "get_flash_update.exe" ist nur einen Mausklick entfernt.

Adobe warnt in seinem Blog vor solchen falschen Flash-Downloads und gibt Tipps, wie Sie einen echten Flash-Installer von einem falschen unterscheiden können. Original-Software ist heutzutage oft digital signiert und die Signatur kann über die Dateieigenschaften überprüft werden. Adobe empfiehlt generell Flash wie auch Adobe Reader, Quicktime und andere Plugins möglichst von der Website des jeweiligen Herstellers zu beziehen.

Bei der auf den gefälschten CNN-Seiten angebotenen Datei handelt es sich um ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet herunter lädt und installiert. Während für diesen Downloader die Erkennungsrate durch aktuelle Antivirusprogramme noch recht ordentlich ist, sieht es allerdings bei den nachgeladenen Komponenten nicht so gut aus.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XPACK.Gen

Avast!

---

AVG

I-Worm/Nuwar.V

A-Squared

---

Bitdefender

Trojan.Downloader.Exchanger.Gen.2

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.595

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

Trojan-Downloader.Win32.Exchanger.kt

Fortinet

suspicious

G-Data AVK

Trojan-Downloader.Win32.Exchanger.kt

Ikarus

Trojan-Downloader.Exchanger.Gen.2

Kaspersky

Trojan-Downloader.Win32.Exchanger.kt

McAfee

--- (BackDoor-DNM trojan)*

Microsoft

---

Nod32

Win32/Agent.ETH trojan (variant)

Norman

---

Panda

suspicious file

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Mal/EncPk-DA

Spybot S&D

Worldsecurityonline.FakeAlert,Malware,Executable

Sunbelt

---

Symantec

--- (Downloader)*

Trend Micro

--- (TROJ_TIBS.CLZ)*

VBA32

---

VirusBuster

---

WebWasher

Trojan.Crypt.XPACK.Gen

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 07.08.08, 14:30 Uhr

0 Kommentare zu diesem Artikel
171122