Passwort-Köder
Falsche Facebook-Mails mit Malware
Vorgeblich von Facebook stammende Mails behaupten, das Passwort sei geändert worden. Empfänger sollen den Anhang öffnen, um ihr neues Passwort zu erfahren. Damit starten sie jedoch ein Trojanisches Pferd.
Die Serie Spam-artig verbreiteter Malware-Mails setzt sich heute weiter fort. Neben vorgeblich vom US-amerikanischen Einlagensicherungsfonds FDIC stammenden Mails sind es heute gefälschte Facebook-Mails, die zur Vergrößerung zweier konkurrierender Botnets beitragen sollen. Erstere verbreiten Web-Links auf eine Zbot-Variante, letztere enthalten ZIP-Dateien, in denen ein Schädling der Bredolab-Familie steckt.
Die vorgeblichen Facebook-Mails werden nicht innerhalb des sozialen Netzwerks verschickt, sondern per Internet-Mail. Sie kommen mit dem Betreff "Facebook Password Reset Confirmation." und der gefälschten Absenderangabe "The Facebook Team". Im Text heißt es in englischer Sprache, auf Grund von Sicherheitsmaßnahmen sei das Passwort des Empfängers geändert worden. Das neue Passwort sei im beigefügten Dokument zu finden.
Die Anhänge tragen variierende Dateinamen nach dem Schema "Facebook_Password_xxxxx.zip", wobei "xxxxx" für fünf Buchstaben und Ziffern steht, wie etwa bei einer Hexadezimalzahl (Beispiel: Facebook_Password_27bf6.zip).
Das ZIP-Archiv enthält eine gleichnamige EXE-Datei. Dabei handelt es sich um ein Trojanisches Pferd aus der Bredolab-Familie. Diese Schädlinge laden weitere Malware aus dem Internet nach, darunter Scareware, Passwortspione und Adware. Auch Bots können darunter sein, die den PC zu einem Teil eines Botnets machen.
Die Hintermänner der Zbot- und Bredolab-Schädlinge stehen zueinander in Konkurrenz um die Rechner der Internet-Nutzer. Dabei kommt es auch vor, dass der eine Schädling Routinen enthält, die den anderen bekämpfen sollen.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Agent.W.550 |
| Authentium | W32/Bredolab!Generic |
| Avast | --- |
| AVG | Packed.Revolt |
| Bitdefender | Trojan.Downloader.Bredolab.AZ |
| CA-AV | --- |
| ClamAV | Trojan.Bredolab-421 |
| Dr.Web | Trojan.Botnetlog.11 |
| Eset Nod32 | --- |
| Fortinet | --- |
| F-Prot | --- |
| F-Secure | Trojan.Downloader.Bredolab.AZ |
| G-Data AVK 2008 | Packed.Win32.Krap.w |
| G-Data AVK 2009 | Trojan.Downloader.Bredolab.AZ |
| Ikarus | Trojan.Win32.Bredolab |
| K7 Computing | --- |
| Kaspersky | Packed.Win32.Krap.w |
| McAfee | Bredolab.gen.a (trojan) |
| McAfee Artemis | Bredolab.gen.a (trojan) |
| McAfee GW Edition | Trojan.Agent.W.550 |
| Microsoft | TrojanDownloader:Win32/Bredolab.X |
| Norman | W32/Obfuscated.D2 |
| Panda | --- (Trj/Agent.MWY)* |
| Panda (Online) | Trj/CI.A |
| PC Tools | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Mal/Bredo-A |
| Spybot S&D | --- |
| Sunbelt | Trojan.Win32.Bredolab.Gen.1 (v) |
| Symantec | --- (Trojan Horse)* |
| Trend Micro | TROJ_BREDLAB.SMF |
| VBA32 | --- |
| VirusBuster | --- |
| Webroot | Mal/Bredo-A |
