780349

Schwedische Facebook-Mails mit Malware

18.01.2011 | 17:53 Uhr |

Eine Malware-Kampagne mit gefälschten Absenderangaben benutzt verschlüsselte ZIP-Dateien, um eine vorzeitige Entdeckung des enthaltenen Schädlings zu vermeiden. Dieser zeigt typische Merkmale der Zbot-Familie.

Die Verbreitung von Malware mit Hilfe verschlüsselter ZIP-Archive wird bereits seit Jahren immer wieder sporadisch beobachtet. Seit Sonntag Mittag ist eine neue Mail-Welle im Umlauf, die diese Methode nutzt, um ein Trojanisches Pferd aus der Zbot-Familie zu verteilen.

Im eleven Security-Blog berichtet Frank Rickert vom Berliner Sicherheitsunternehmen eleven über die neuesten Malware-Kampagne. Es handelt sich demnach um einfache Text-Mails, deren Betreff meist in schwedischer Sprache gehalten ist, während der Text englisch ist. Ein Drittel der Mails kommt zudem von schwedischen IP-Adressen.

Als Absender ist "FaceBook" angegeben, die verwendeten Absenderadressen gehören jedoch zum Community-Portal hi5.com oder zu der italienischen Domain stanghellinisrl.it , deren Website zurzeit keine Inhalte zeigt. Im Mail-Text heißt es, der Absender habe vor einer Zeit versucht dem Angeschriebenen Fotos zu schicken. Nunmehr habe er diese in eine ZIP-Datei verpackt an diese Mail gehängt.

Die ZIP-Datei ist mit einem Passwort geschützt, sodass Virenscanner auf dem Mail-Server das Archiv nicht auf Malware prüfen können. Damit die Adressaten den Anhang öffnen können, ist das Passwort im Mail-Text angegeben. In der ZIP-Datei steckt ein Schädling, den AntiVir als "BDS/Drop.Bifrost.A" erkennt. Er zeigt Charakteristika der Zbot-Familie.

Der Schädling enthält Funktionen zum Ausspähen von Passwörtern und Bankdaten sowie zur Deaktivierung der Windows Firewall. Er bringt eine Tarnkappe mit und lädt weitere schädliche Dateien aus dem Internet herunter.

0 Kommentare zu diesem Artikel
780349