Malware-Spam
Vorgeblicher Atomunfall in der Schweiz
Spam-artig verbreitete Mails berichten von einer angeblichen radioaktiven Kontamination in der Schweiz durch einen Unfall in einem Kernkraftwerk. Die Mails dienen jedoch nur dazu die Empfänger auf Malware-Sites zu locken.
Malware-Spammer betätigen sich gerne als Trittbrettfahrer, wenn mehr oder weniger sensationelle Nachrichten um die Welt gehen, etwa zuletzt bei der Ermordung der pakistanischen Oppositionspolitikerin Benazir Bhutto. In dieser Woche werden hingegen Falschmeldungen verbreitet, die einen angeblichen Unfall in einem Kernkraftwerk nahe Genf in der Schweiz zum Inhalt haben. Die Mails kommen mit dem Betreff "Nachricht uber eine radioaktive Kontamination in der Schweiz.." und enthalten einen Link auf eine Geocities-Seite.
Der Link zeigt auf eine von mehreren Geocities-Seiten, die lediglich als Weiterleitung auf eine russische Website dienen. Diese Weiterleitung funktioniert jedoch nur mit aktiviertem Javascript. Der russische Server zeigt eine Seite an, die mit einem bekannten Symbol darauf hinweist, dass (vorgeblich) ein benötigtes Plug-in fehlt.
Dieses "iPIX plug-in" wird praktischerweise gleich zum Download angeboten. Die Datei "iPIX-install_de.exe" enthält jedoch keine Browser-Erweiterung sondern ein Trojanisches Pferd. Es entstammt der Malware-Familie "Zbot/Wsnpoem" und reiht den Rechner in ein Botnet ein.
Außerdem spioniert dieses Variante Anmeldedaten für das Online-Banking der Schweizer Bank UBS aus. Eine niederländische Variante zielt auf die ABM Amro Bank.
Erkennung durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/PSW.Zbot.CY.1 |
| Avast! | --- |
| AVG | SHeur.ALDF (Trojan horse) |
| A-Squared | --- |
| Bitdefender | --- |
| ClamAV | Trojan.Zbot-158 |
| Command AV | --- |
| Dr Web | --- |
| eSafe | File [100] (suspicious) |
| eTrust | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Trojan-PSW.Win32.Zbot.cy |
| Fortinet | W32/Zbot.CY!tr.pws |
| G-Data AVK | Trojan-PSW.Win32.Zbot.cy |
| Ikarus | Trojan-PWS.Win32.Zbot.cy |
| Kaspersky | Trojan-PSW.Win32.Zbot.cy |
| McAfee | Generic PWS.o trojan |
| Microsoft | PWS:Win32/Bankrypt.gen |
| Nod32 | Win32/Spy.Agent.NDM trojan |
| Norman | Zbot.AM |
| Panda | Trj/Wsnpoem.PE |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Mal/Behav-066 |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | --- |
| Symantec | Infostealer.Notos!gen |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | TrojanSpy.ZBot.Gen!Pac.3 |
| WebWasher | Trojan.PSW.Zbot.CY.1 |
Quelle: AV-Test (http://www.av-test.de), Stand: 11.01.2008, 13 Uhr
