67136

Neugierige Vorlagen: Bezahlte Links in Google führen zu Malware-Site

09.07.2007 | 15:21 Uhr |

Wer im Internet nach kostenlosen Vorlagen für Office-Dokumente sucht, kann in die Malware-Falle tappen. In den Trefferlisten von Google führt eine Anzeige zu einer Website, die statt Vorlagen ein Trojanisches Pferd liefert.

Die Suche im Internet nach Dingen, die nichts kosten, hält so manche Fußangel bereit. So berichtet das Internet Storm Center über einen bezahlten Link in den Suchergebnissen von Google für "kostenlose Vorlagen", der zu einer Malware-Site führt.

Auf der beworbenen Website werden vorgeblich allerlei Vorlagen zum kostenlosen Download angeboten. Das Spektrum reicht von Musterbriefen über Einladungen bis zum Haushaltsbuch. Jede Vorlage ist auf einer eigenen Seite ausführlich beschrieben. Der Download-Link zeigt jedoch auf jeder der Seiten auf die selbe, 115 KB große SCR-Datei.

Dabei handelt es sich um ein Trojanisches Pferd aus der "Bzub"-Familie. Wird es herunter geladen und ausgeführt, installiert es eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows. Diese wird als Browser Helper Object (BHO) im Internet Explorer registriert. So kann der Schädling alle in Online-Formulare eingegebenen Zugangsdaten protokollieren, etwa die für das Online-Banking.

Die bezahlten Links erscheinen inzwischen nicht mehr bei Google, die Website ist jedoch noch mit mehreren Treffern im Google-Index vertreten.

Erkennung durch Antivirus-Software:

Antivirus

vorlagen536794.scr

ipv6monl.dll

AntiVir

TR/Spy.BZub.JD.1

TR/Spy.BZub.NDS

Avast!

Win32:BZub-FS [Trj]

---

AVG

---

---

A-Squared

---

---

Bitdefender

---

Trojan.Spy.BZub.NDS

ClamAV

---

---

Command AV

---

---

Dr Web

Trojan.DownLoader.26651

---

eSafe

Win32.BZub.jd

---

eTrust

---

---

Ewido

---

---

F-Prot

---

---

F-Secure

Trojan-Spy.Win32.BZub.jd

---

Fortinet

Spy/Binder

---

Ikarus

Trojan-Spy.Win32.Goldun.lw

---

Kaspersky

Trojan-Spy.Win32.BZub.jd

---

McAfee

--- (Spy-Agent.ba)*

Spy-Agent.ba.gen

Microsoft

TrojanDropper:Win32/Small.OT

TrojanDropper:Win32/Small.OT

Nod32

---

---

Norman

W32/Malware (Sandbox)

---

Panda

---

---

QuickHeal

---

---

Rising AV

---

---

Sophos

Mal/Binder-C

Mal/Cimuz-A

Spybot S&D

Nurech,,Executable

Smitfraud-C.,,Executable

Symantec

--- (Infostealer.Bzup)*

Infostealer.Bzup

Trend Micro

---

TROJ_DROPPER.CJY

VBA32

---

---

VirusBuster

---

---

WebWasher

Trojan.Spy.BZub.JD.1

Trojan.Spy.BZub.NDS

GData AVK 2007 **

Trojan-Spy.Win32.BZub.jd

---


Quelle: AV-Test , Stand: 09.07.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
67136