131352

Malware-Spammer nutzen Kaukasus-Konflikt

25.08.2008 | 09:16 Uhr |

Mit Kriegsmeldungen lassen sich offenbar nicht nur Schlagzeilen machen sondern auch Schädlinge verbreiten. Spammer nutzen den Konflikt in Georgien und versenden Malware in Passwort-geschützten ZIP-Archiven.

Die Schlagzeilen des Tages sind die Spam-Themen von morgen - von Olympia bis Georgien. So ist der Kaukasus-Konflikt ein willkommene Quelle von Stichwörtern für teils frei erfundene Schlagzeilen, die als Aufhänger für Malware-Spam dienen. Die Mail-Versender versuchen außerdem die Entdeckung der Schädlinge durch Schutzprogramme zu erschweren, indem sie Passwort-geschützte ZIP-Archive an die Mails hängen.

Es reicht den Malware-Spammern offenbar nicht mehr Mails zu senden, die Links zu Web-Seiten mit vorgeblichen Videos enthalten. Sie wollen wieder direkter an potenzielle neue Opfer heran. Malware in Mail-Anhängen wird jedoch allzu schnell durch Mail-Scanner entdeckt und entfernt.

Daher haben die Betreiber von Botnets eine gar nicht neue Masche reaktiviert: sie stecken ihren Schädling in eine ZIP-Datei und verschlüsseln diese mit einem Passwort. Das Passwort schreiben sie dann in den Text der Mails, damit die Empfänger die Archive auspacken können.

So berichtet Mary Ermitano im Blog von Trend Micro (http://blog.trendmicro.com) über derartige Mails mit einem Betreff wie "Journalists shot in Georgia" mit einem Anhang namens "georgia.zip". Dieses Archiv ist mit einem Passwort wie "123" vor Virenscannern geschützt. Es enthält eine Datei "joined.exe", ein Trojanisches Pferd. Es lädt weitere Schädlinge aus dem Internet, darunter auch ein betrügerisches Antivirusprogramm.

Im Blog des Microsoft Malware Protection Center (http://blogs.technet.com/mmpc/) berichtet Patrick Nolan ebenfalls über diese Mails. Sie seien ein weiteres Beispiel für die Social-Engineering-Tricks der Malware-Spammer. Das in den Mails angesprochene Thema soll die Empfänger reizen und dazu verleiten den schädlichen Anhang zu öffnen.

Während Trend Micro den darin enthaltenen Schädling als "TROJ_DLOADER.UAF" bezeichnet, heißt er bei Microsoft "TrojanDropper:Win32/Twores.gen".

0 Kommentare zu diesem Artikel
131352