747815

Facebook-App führt zum Malware-Download

12.11.2010 | 09:47 Uhr |

Facebook entwickelt sich immer mehr zu einem Tummelplatz für Online-Betrüger und zu einer Malware-Schleuder. Ein Link zu einer vorgeblichen Facebook-App kann etwa zum Laden eines schädlichen Java-Applets führen, das Malware installiert.

Praktisch zum Tagesgeschäft gehören auf Facebook mittlerweile vor allem betrügerische Umfragen, an denen teilnehmen soll, wer ein bestimmtes Video sehen will. Solche nicht existierenden Videos werden immer wieder mit reißerischen Schlagzeilen propagiert (Stichwort: "OMG" - oh my god). Doch auch mit Apps lässt sich trefflich Schindluder treiben.

Der Antivirushersteller McAfee hat zum Beispiel eine nicht näher bezeichnete, vorgebliche Facebook-Anwendung entdeckt, deren Facebook-Seite auch ohne Installation einer App Schaden anrichten kann. Diese Seite richtet sich offenbar auf eine osteuropäische Zielgruppe, denn sie ist in kroatischer Sprache gehalten.

Wie Geok Meng Ong im Blog der McAfee Labs  berichtet, wird beim Besuch der Seite ein digital signiertes Java-Applet geladen, das sich als "Sun_Microsystems_Java_Security_Update_6" vorstellt und vorgeblich von "Sun Java MicroSystems" stammen soll. Verdächtig ist daran zunächst lediglich, dass die Signatur nicht von einer vertrauenswürdigen Quelle verifiziert werden kann.

Die Sache hat einen Haken...
Vergrößern Die Sache hat einen Haken...
© 2014

Erst wenn man in der Dialogbox zum Laden des Applets auf "More information" klickt, erfährt man, dass die Signatur mit einem nicht vertrauenswürdigen Zertifikat erstellt wurde und vor allem, dass das Applet nicht mit den für die Java-Sandbox üblichen Sicherheitsbeschränkungen ausgeführt würde.

Und so geschieht es dann auch: das Applet lädt eine EXE-Datei aus dem Internet und speichert sie auf dem Rechner des Opfers. Das dürfte ein reguläres Applet nicht. Die Datei landet als "NortonAV.exe" im Benutzerprofil (etwa C:\Users\ username bei Vista und Windows 7) und wird dort ausgeführt.

Dabei handelt es sich um ein Trojanisches Pferd, das Passwörter ausspionieren soll. Gesammelte Passwörter sendet der Schädling über eine verschlüsselte Verbindung an ein Mail-Konto bei Google Mail. McAfee erkennt das Applet und die EXE-Datei ab Virendefinition DAT-6165 (12.11.2010) als "Generic PWS.tk!dldr" und "Generic PWS.tk".

0 Kommentare zu diesem Artikel
747815