135462

Stürmische Zeiten für Yahoo

16.11.2007 | 15:19 Uhr |

Die Sturm-Wurm-Bande verschickt bei ihrer neuesten Malware-Kampagne Mails mit Links auf eine Reihe von Geocities-Seiten, die zur Weiterleitung auf die eigentliche Angriffsseite dienen.

Auf Yahoo kommen stürmische Zeiten zu, denn der zu Yahoo gehörende Anbieter kostenloser Homepages, Geocities, dient derzeit als Werkzeug für die neueste Sturm-Wurm-Flut. Die Malware-Spammer versenden Mails, die einen Link auf eine von vielen Geocities-Seiten enthalten. Die enthält verschleierten Javascript-Code, der eine Weiterleitung auf eine Angriffsseite der Sturm-Wurm-Bande bewirkt. Darüber berichten auch die Malware-Forscher von Trend Micro in ihrem Blog .

Auf dieser Web-Seite wird eine Situation nachgebildet, die vielen Internet-Nutzer vertraut sein dürfte: es wird ein weißes Feld angezeigt, das ein grünes Puzzle-Teil enthält. Dies ist normalerweise ein typischer Hinweis darauf, dass dem Browser ein Plug-in fehlt, um den Multimedia-Inhalt anzuzeigen. Die Sturm-Wurm benutzt dies, um den Besucher zu nötigen ein "iPIX Plug-in" herunter zu laden und zu installieren. Die angebotene Datei heißt "iPIX-install.exe".

Hierbei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Es gliedert den PC auf diese Weise in die Reihen des Sturm-Botnets ein. Der Rechner kann somit zu einer fremdgesteuerten Spam-Schleuder oder unfreiwilliger Teilnehmer eines DDoS-Angriffs auf Web-Server werden.

Erkennung des vorgeblichen Plug-ins durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Spy.ZBot.CD

Avast!

---

AVG

Pakes_c.CV (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Spy.ZBot.J

ClamAV

---

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

eTrust

---

Ewido

---

F-Prot

---

F-Secure

Trojan-Spy.Win32.Zbot.cd

Fortinet

W32/Zbot.CD!tr

Ikarus

Backdoor.Bot

Kaspersky

Trojan-Spy.Win32.Zbot.cd

McAfee

---

Microsoft

PWS:Win32/Bankrypt.gen

Nod32

Win32/Spy.Agent.NDM trojan

Norman

---

Panda

W32/Wsnpoem.LE.worm

QuickHeal

Suspicious (warning)

Rising AV

Trojan.Spy.Win32.Zbot.cd

Sophos

Sus/UnkPacker (suspicious)

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

Backdoor.Win32.Small.lu

Symantec

Infostealer.Banker.C

Trend Micro

TROJ_ZBOT.BJ

VBA32

---

VirusBuster

TrojanSpy.ZBot.Gen!Pac.3

WebWasher

Trojan.Spy.ZBot.CD

GData AVK 2007 *

Trojan-Spy.Win32.Zbot.cd

Quelle: AV-Test (), Stand: 16.11.2007, 14 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
135462