PornTube-Fake
Malware-Spam folgt Sturm-Wurm-Beispiel
Eine weitere Welle von Malware-Spam ist dem Beispiel des Sturm-Wurms gefolgt und hat eine Reihe fiktiver Katastrophen als Köder benutzt, um potenzielle Opfer auf ein nachgeahmtes Video-Portal zu locken.
In der letzten Woche hat die Sturm-Wurm-Bande eine neue Spam-Kampagne gestartet, für die ein angebliches Erdbeben in China als Aufhänger diente. Dem ist eine weitere Welle mit Malware-Spam nachgefolgt, die ebenfalls mit frei erfundenen Sensationsmeldungen auf Bauernfang gegangen ist. Die Bandbreite der Themen reicht von Britney Spears über Erdbeben bis zum Präsidentschaftswahlkampf in den USA.
Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Britney found hanged in locker room", "White House hit by lightning, catches fire", "Eiffel Tower damaged by massive earthquake", "Lastest! Obama quits presidential race", "Osama Bin Laden caught finally !" oder "Egypt Giza pyramids rocked by massive earthquake" - um nur einige zu nennen. Zu diesem Zeitpunkt (am Freitag) geradezu hellseherisch ist der Betreff "Italy knocked out of Euro 2008". Die Mails enthalten einen kurzen Text, der meist eher auf Werbung für Potenzpillen oder dergleichen hindeutet, sowie ein Link zu einer von mehreren Websites. Die URL verweist stets auf eine Seite "/r.html" bei unterschiedlichen Domains. Es handelt sich meist um gehackte Websites.
Wer dem Link folgt, bekommt eine Seite zu sehen, die eine Imitation eines pornografischen Videoportals namens "PornTube" darstellen soll. Was im Stil von YouTube wie ein Video aussieht, das zum Starten anklickt werden muss, ist tatsächlich ein Download-Link für ein Trojanisches Pferd. Wer darauf klickt, erhält eine etwa 66 KB große Datei namens "video.exe".
Benutzer des Internet Explorers bekommen auch ohne dies eine Fehlermeldung angezeigt, die auf eine angeblich fehlende ActiveX-Komponente zum Anzeigen des Videos hinweist. Wer diese Meldung mit einem Klick auf "OK" bestätigt, erhält ebenfalls besagte video.exe. Dieser Schädling startet sogleich eine neue Welle von Spam-Mails im Stil der oben beschriebenen, vorgeblichen Sensationsmeldungen.
Die Erkennung durch Antivirus-Programme ist recht gut. Möglicherweise wegen des verwendeten EXE-Packprogramms rechnen einige Antivirushersteller den Schädling zur Sturm-Familie. Malware-Namen wie "Nuwar", "Peed", "Tibs" und "Zhelatin" deuten darauf hin.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.AW |
| Avast! | Win32:Trojan-gen {Other} |
| AVG | Agent.WVP (Trojan horse) |
| A-Squared | Trojan-Downloader.Win32.Agent.tyw |
| Bitdefender | Trojan.Peed.JMH |
| CA-AV | Win32/Collet.CB |
| ClamAV | Trojan.Downloader.TibsPak |
| Command AV | W32/Downldr2.CGGN |
| Dr Web | Trojan.DownLoader.62005 |
| eSafe | File [100] (suspicious) |
| Ewido | Downloader.Agent.tyw |
| F-Prot | W32/Downldr2.CGGN |
| F-Secure | Trojan-Downloader.Win32.Agent.tyw |
| Fortinet | W32/PolyZlob!tr.dldr |
| G-Data AVK | Trojan-Downloader.Win32.Agent.tyw |
| Ikarus | Trojan-Dropper.Win32.Nuwar.ldt |
| Kaspersky | Trojan-Downloader.Win32.Agent.tyw |
| McAfee | BackDoor-DNM trojan |
| Microsoft | TrojanDropper:Win32/Nuwar.gen!ldt |
| Nod32 | Win32/Agent.ETH trojan |
| Norman | W32/Malware.DBUI |
| Panda | Trj/Exchanger.G |
| QuickHeal | TrojanDownloader.Agent.tyw |
| Rising AV | --- |
| Sophos | Mal/TibsPak |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | Trojan-Downloader.Win32.Agent.qxx |
| Symantec | Trojan.Erotpics |
| Trend Micro | TROJ_AGENT.ISU |
| VBA32 | Trojan.Win32.Revelation |
| VirusBuster | Trojan.Tibs.Gen!Pac.132 |
| WebWasher | Worm.Zhelatin.AW |
Quelle: AV-Test (http://www.av-test.de), Stand: 23.06.2008, 14 Uhr
