223520

Passwortdieb wird als Wurm über Twitter verbreitet

21.05.2010 | 14:49 Uhr |

Etliche zu diesem Zweck erstellte Twitter-Konten zwitschern über ein vorgebliches lustiges Video und locken potenzielle Opfer damit auf eine Web-Seite, die einen Passwörter ausspionierenden Wurm einschleust.

Die Masche an sich ist nicht wirklich neu: Mails, IM-Nachrichten oder Web-Links, die ein lustiges Video versprechen, führen auf Web-Seiten mit Malware. Das scheint auch nach Jahren noch immer gut zu funktionieren, sonst würden Malware-Spammer nicht weiterhin damit arbeiten. Mittlerweile ist Twitter ein beliebter Tummelplatz dieser Spezies.

Die neueste Welle hängt sich stets an den neuesten Trend und der wird von Twitters Ankündigung einer eigenen App für das iPhone bestimmt. Die Twitts enthalten, wie schon länger, den Text "haha this is the funniest video ive EVER SEEN", gefolgt von einem Web-Link zum vorgeblichen Video. Wird diese Seite aufgerufen, startet zunächst Java (falls das Java-Plugin im Browser installiert ist), dann lädt ein Visual-Basic-Script eine EXE-Datei von einer anderen Website herunter. Es handelt sich um einen so genannten Drive-by Download .

Der Schädling hat mehrere Funktionen. Es ist ein Wurm, der sich über USB-Sticks verbreiten kann. Er deaktiviert den Taskmanager, den Registry-Editor und Nachrichten vom Windows Sicherheits-Center. Seine wichtigste Funktion ist jedoch das Ausspionieren von Kreditkartendaten und Passwörtern für das Online-Banking.

Der Schädling enthält außerdem Code, der erkennen soll, ob das Programm in einer virtuellen Maschine läuft. Ist dies der Fall, bricht der Wurm seine Tätigkeit ab. Das zum Einschleusen verwendete Java-Applet wird, obwohl mehrere Monate alt, nur von wenigen Virenscannern erkannt, der Wurm hingegen inzwischen von den meisten.

Antivirus

Malware-Name (Java)

Malware-Name (EXE)

AntiVir

---

TR/Sasfis.anku

Authentium

---

W32/VB.AP.gen!Eldorado

Avast

---

Win32:Malware-gen

AVG

---

---

Bitdefender

Trojan.Java.Downloader.G

Trojan.Generic.KD.13069

CA-AV

---

---

ClamAV

---

---

Dr.Web

---

---

Eset Nod32

---

Win32/Injector.BSI trojan (variant)

Fortinet

---

---

F-Prot

---

W32/VB.AP.gen!Eldorado

F-Secure

---

---

G Data

Trojan.Java.Downloader.G

Trojan.Generic.KD.13069

Ikarus

Trojan.Java.Downloader.G

Trojan-Downloader.Win32.Banload

K7 Computing

---

Trojan (1b850a400)

Kaspersky

---

Trojan.Win32.Sasfis.anku

McAfee

---

--- (Generic.dx!sty)*

McAfee Artemis

---

---

McAfee GW Edition

---

Heuristic.LooksLike.Worm.Kolab.J

Microsoft

---

---

Norman

---

W32/VBWorm.AXQM (worm)

Panda

---

---

Panda (Online)

---

W32/Lolbot.B.worm

PC Tools

---

Malware.Spyrat

QuickHeal

---

---

Rising AV

---

---

Sophos

Troj/JavaDl-J

Troj/VB-EQO

Spybot S&D

---

---

Sunbelt

Trojan.Java.Downloader.G (v)

Trojan.Win32.Generic!BT

Symantec

---

W32.Spyrat

Symantec (Online)

---

W32.Spyrat

Trend Micro

JAVA_EXEC.A

--- (TROJ_SASFIS.AF)*

VBA32

---

---

VirusBuster

---

Trojan.DL.Agent.VXAD (trojan)

Webroot

---

---


Quelle: AV-Test ; Stand: 21.05.2010, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
223520