36010

Valentinsgruß mit Pferdefuß

14.02.2007 | 16:00 Uhr |

Vorgebliche Grußkarten-Mails sind ein beliebtes Vehikel zur Verbreitung von Malware. Zum Valentinstag verschickte Mails dieser Art verlinken auf eine Website, auf der Besuchern ein falscher Flash-Player angedient wird.

Heute ist Valentinstag - Happy Valentine. Wenn ihn die Floristen nicht schon so populär gemacht hätten, müssten das die Virenprogrammierer selbst tun. Denn wie Weihnachten und Neujahr ist der Valentinstag ein überzeugender Anlass zum Versenden und Empfangen von Grußkarten-Mails. Vermutlich sind darunter aber mehr falsche als echte, denn Viren-Spammer verbreiten massenhaft Grußkarten-Mails, die entweder auf eine mit Malware gespickte Website verlinken oder diese gleich als Anhang mitbringen.

So werden seit Dienstag neben neuen Varianten des " Sturm-Wurms " auch Mails verschickt, die vorgeblich von einem tatsächlich existierenden Grußkarten-Dienst "American Greetings" (http://www.americangreetings.com) kommen. Die Links in den Mails führen jedoch nicht zu dessen richtiger Website, sondern zu Nachahmungen mit anderen Domain-Namen wie "americansgreetings.net" (oder ".biz", ".info", ."de" und weitere).

Dort wird Besuchern sofort die Notwendigkeit eines neuen Flash-Players verkündet und der Download eines angeblichen Installationsprogramms wird automatisch gestartet. Die Datei heißt "install_flash_player.exe" und ist etwa 20 KB groß. Verschiedene Web-Server liefern dabei unterschiedliche Versionen der Datei aus, die sich nur durch eine variierte EXE-Komprimierung unterscheiden.

Die gute Nachricht ist, dass zurzeit keiner dieser Server mehr erreichbar zu sein scheint. Der angebliche Flash-Player-Installer installiert keinen Flash-Player sondern ein Trojanisches Pferd, das aus dem Internet nachgeladen wird. Es klinkt sich als Browser Helper Object (BHO) in den Internet Explorer ein und kann so alle eingegebenen Zugangsdaten ausspionieren, etwa die für das Online-Banking. Der Download-Server dafür liefert noch und nimmt auch die ausspionierten Daten entgegen.

Erkennung durch Antivirus-Programme:

Antivirus

Flash-Installer

BHO

AntiVir

W32/TComBill

TR/Spy.Banker.brb.5

Avast!

---

---

AVG

---

---

Bitdefender

---

---

ClamAV

---

Trojan.Bancos-1037

Command

---

---

Dr Web

---

---

eSafe

---

---

eTrust-INO

--- (Win32/Alvabrig.B)*

---

eTrust-VET

---

---

Ewido

Downloader.Banload.bon

---

F-Prot

---

---

F-Secure

Trojan-Downloader.Win32.Banload.bon

Trojan-Spy.Win32.Banker.brb

Fortinet

--- (W32/Banload.BON!tr.dldr)*

Spy/Banker

Ikarus

Trojan-Downloader.Win32.Banload.bon

Trojan-Spy.Win32.Banker.brb

Kaspersky

Trojan-Downloader.Win32.Banload.bon

Trojan-Spy.Win32.Banker.brb

McAfee

---

---

Microsoft

---

New Malware.ao

Nod32

---

Win32/Spy.Asher

Norman

---

---

Panda

Suspicious file (Adware/Ajax9)*

---

QuickHeal

---

---

Rising

---

---

Sophos

---

---

Symantec

---

---

Trend Micro

---

---

UNA

---

---

VBA32

---

---

VirusBuster

novirus:Packed/FSG

---

WebWasher

Win32.TComBill

Trojan.Spy.Banker.brb.5

GData AVK **

Trojan-Downloader.Win32.Banload.bon

Trojan-Spy.Win32.Banker.brb


Quelle: AV-Test , Stand: 14.02.2007, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
36010