Malware-Spam
Vorgebliche CNN-News mit falschem Flash Player
Nachdem Spam-Mails mit Sensationsmeldungen im Betreff offenbar ausgedient haben, werden nun Mails mit vorgeblichen "Top10" News unter falscher Flagge von CNN verbreitet, um die Empfänger auf gehackte und mit Malware präparierte Websites zu locken.
Die Malware-Spammer haben die die Taktik gewechselt und verbreiten ihre Malware-Links nun mittels Mails, die als vorgebliche CNN-Newsletter getarnt sind. Die Mails kommen stets mit der Absenderangabe "Daily Top 10" und dem Betreff "CNN.com Daily Top 10", die wechselnden Absenderadressen sind gefälscht. Die Mails sind HTML-formatiert und enthalten eine scheinbare News-Übersicht. Darin ist jede Schlagzeile mit einem Link zu der gleichen Seite versehen.
Diese Seiten liegen auf weltweit verstreuten, gehackten Websites - auch etliche DE-Domains sind darunter. Auf diesen Seiten wird dem Besucher erklärt, er benötige eine neuere Version von Adobes Flash Player, egal welche Version er tatsächlich hat. Der Download einer etwa 78 KB großen Datei namens "get_flash_update.exe" ist nur einen Mausklick entfernt.
Adobe warnt in seinem Blog vor solchen falschen Flash-Downloads und gibt Tipps, wie Sie einen echten Flash-Installer von einem falschen unterscheiden können. Original-Software ist heutzutage oft digital signiert und die Signatur kann über die Dateieigenschaften überprüft werden. Adobe empfiehlt generell Flash wie auch Adobe Reader, Quicktime und andere Plugins möglichst von der Website des jeweiligen Herstellers zu beziehen.
Adobe warnt in seinem Blog vor solchen falschen Flash-Downloads und gibt Tipps, wie Sie einen echten Flash-Installer von einem falschen unterscheiden können. Original-Software ist heutzutage oft digital signiert und die Signatur kann über die Dateieigenschaften überprüft werden. Adobe empfiehlt generell Flash wie auch Adobe Reader, Quicktime und andere Plugins möglichst von der Website des jeweiligen Herstellers zu beziehen.
Bei der auf den gefälschten CNN-Seiten angebotenen Datei handelt es sich um ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet herunter lädt und installiert. Während für diesen Downloader die Erkennungsrate durch aktuelle Antivirusprogramme noch recht ordentlich ist, sieht es allerdings bei den nachgeladenen Komponenten nicht so gut aus.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XPACK.Gen |
| Avast! | --- |
| AVG | I-Worm/Nuwar.V |
| A-Squared | --- |
| Bitdefender | Trojan.Downloader.Exchanger.Gen.2 |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.Packed.595 |
| eSafe | File [100] (suspicious) |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Trojan-Downloader.Win32.Exchanger.kt |
| Fortinet | suspicious |
| G-Data AVK | Trojan-Downloader.Win32.Exchanger.kt |
| Ikarus | Trojan-Downloader.Exchanger.Gen.2 |
| Kaspersky | Trojan-Downloader.Win32.Exchanger.kt |
| McAfee | --- (BackDoor-DNM trojan)* |
| Microsoft | --- |
| Nod32 | Win32/Agent.ETH trojan (variant) |
| Norman | --- |
| Panda | suspicious file |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Mal/EncPk-DA |
| Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
| Sunbelt | --- |
| Symantec | --- (Downloader)* |
| Trend Micro | --- (TROJ_TIBS.CLZ)* |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Crypt.XPACK.Gen |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 07.08.08, 14:30 Uhr
Quelle: AV-Test, Stand: 07.08.08, 14:30 Uhr
