Malware
Trittbrettfahrer nutzen Tod von Porno-Sternchen
Nach dem mutmaßlichen Fund der Leiche einer vermissten College-Studentin in Kansas und der Enthüllung, sie sei unter dem Pseudonym "Zoey Zane" auch als Pornodarstellerin bekannt, nutzen Malware-Verbreiter die Situation für ihre Zwecke.
Emily Sanders, eine 18-jährige Schülerin aus dem US-Bundesstaat Kansas, wird seit dem 22. November vermisst. Eine Woche später ist in der Umgebung von El Dorado, Kansas, die Leiche einer jungen Frau gefunden worden, bei der es sich allem Anschein nach um Emily Sanders handelt. Zwischenzeitlich sind Berichte aufgetaucht, Emily habe sich unter dem Namen "Zoey Zane" auch als Pornodarstellerin verdingt. Eine Schulfreundin sowie ihr Bruder sollen diese Berichte bestätigt haben. Diese Story hat sogleich auch die Malware-Szene auf den Plan gerufen, die solche Nachrichten gerne ausnutzt, um Neugierige auf Malware-verseuchte Seiten zu locken.
So meldet ein Blog mit Datum vom 2. Dezember: "Zoey Zane is Alive! Exclusive Interview" und verheißt ein Video-Interview mit der Vermissten. Wer auf dieser Seite das Video anschauen will, erhält allerdings die Meldung, er müsse zunächst eine neue Version eines Media-Codecs installieren - oder der Download des vorgeblichen Codecs startet sogar automatisch. Bei dem Installationsprogramm "VideoAccessCodecInstall.exe" handelt es sich um ein Trojanisches Pferd aus der Zlob-Familie, das ein BHO (Browser Helper Object) für den Internet Explorer installiert, um Zugangsdaten auszuspionieren.
Eine andere Website, ebenfalls auf einem vorderen Platz in den Trefferlisten von Google, verspricht Videos von Zoey Zane. Besucher dürften auf Grund der Vorschau auf nackte Haut spekulieren, erhalten jedoch ebenfalls zunächst eine Aufforderung zur Installation eines neuen Codecs. In diesem Fall ist es zwar kein Zlob-Derivat, aber auch nichts Besseres. Das herunter geladene Programm "videomp3_setup_<Nummer>.exe" installiert vielmehr eine betrügerische Schutz-Software, die sich als "IE Defender" bereits einen schlechten Ruf erworben (und diesen redlich verdient) hat.
Die Erkennung dieser Schädlinge durch Antivirus-Software ist bislang eher spärlich:
| Antivirus | VideoAccessCodecInstall | videomp3_setup |
|---|---|---|
| AntiVir | DR/Zlob.Gen | --- |
| Avast! | --- | --- |
| AVG | Downloader.Zlob | --- |
| A-Squared | --- | --- |
| Bitdefender | --- | --- |
| ClamAV | Trojan.Dropper-2557 | --- |
| Command AV | --- | --- |
| Dr Web | --- | --- |
| eSafe | --- | File [100] (suspicious) |
| eTrust | --- | --- |
| Ewido | --- | --- |
| F-Prot | --- | --- |
| F-Secure | --- | --- |
| Fortinet | --- | --- |
| Ikarus | --- | Trojan-Downloader.Zlob.AAZR |
| Kaspersky | --- | --- |
| McAfee | --- | --- |
| Microsoft | TrojanDownloader:Win32/Zlob.AMM (suspicious) | --- |
| Nod32 | --- | --- |
| Norman | W32/Zlob.ARDM | --- |
| Panda | --- | --- |
| QuickHeal | TrojanDownloader.Zlob.gen | TrojanDownloader.Delf.cvh |
| Rising AV | --- | Trojan.DL.Win32.Delf.cuu |
| Sophos | Troj/Zlobar-Fam | --- |
| Spybot S&D | --- | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | --- | --- |
| Symantec | --- (Trojan.Zlob)* | --- (Downloader)* |
| Trend Micro | --- | --- |
| VBA32 | --- | Win32.Trojan.Downloader |
| VirusBuster | --- | --- |
| WebWasher | Trojan.Dropper.Zlob.Gen | --- |
| G-Data AVK ** | --- | --- |
Quelle: AV-Test (http://www.av-test.de), Stand: 04.12.2007, 10 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
