Video-Malware
Spion als falscher Flash Player
Derzeit werden wieder einmal Links zu angeblichen Videos verbreitet, die zum Download einer als Flash Player getarnten Malware führen. Die Download-Seite ist eine fast perfekte Imitation der Adobe-Website.
Wer einem Link zu einem vermeintlich interessanten Video folgt, landet oft auf Seiten, auf denen es gar keine Videos zu sehen gibt. Wie im neuesten Beispiel wird nun ein Bild angezeigt, das ein abspielbereites Video vortäuschen soll. Es folgt eine Aufforderung die neueste Version von Adobe Flash Player herunter zu laden und zu installieren. Der Download erfolgt von einer Seite, die Adobes Original täuschend echt nachahmt.
Wie der finnische Antivirushersteller F-Secure in seinem Blog berichtet, landen potenzielle Opfer etwa über Links der Suchmaschine Alexa auf derart präparierten Seiten. Diese zeigen eine Meldung an, laut der es ein Problem mit dem Abspielen des Flash-Videos geben soll. Der Besucher wird aufgefordert die neueste Version des Flash Player zu installieren.
Die dann aufgerufene Download-Seite auf einem Server in Bulgarien ist eine geringfügig geänderte Kopie der Originalseite von Adobe. Lediglich der eigentliche Download-Link und die Web-Adresse, in der "addobe" vorkommt, weisen bei genauer Betrachtung auf die Täuschung hin. Die zum Download angebotene Datei heißt auch "install_flash_player.exe" und trägt das gleiche Symbol wie das Original. Damit enden jedoch die Gemeinsamkeiten von Fälschung und Original-Software.
Was unvorsichtige Web-Surfer erhalten, ist Malware - ein Trojanisches Pferd, das Anmeldedaten für das Online-Banking ausspionieren soll. Leider erkennen viele Antivirusprogramme die Fälschung noch nicht.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.ZPACK.Gen |
| Authentium | --- |
| Avast | --- |
| AVG | --- |
| Bitdefender | --- |
| CA-AV | --- |
| ClamAV | --- |
| Dr Web | --- |
| Eset Nod32 | --- |
| Fortinet | --- |
| F-Prot | --- |
| F-Secure | --- |
| G-Data AVK 2008 | Trojan-Banker.Win32.Banker.ahrc |
| G-Data AVK 2009 | --- |
| Ikarus | Trojan-Downloader.Win32.Small |
| ISS VPS | --- |
| K7 Computing | --- |
| Kaspersky | Trojan-Banker.Win32.Banker.ahrc |
| McAfee | --- |
| McAfee Artemis | Artemis!71AD0C4A4168 (trojan) |
| McAfee GW Edition * | Trojan.Crypt.ZPACK.Gen |
| Microsoft | TrojanDownloader:Win32/Small.CAA |
| Norman | --- |
| Panda | --- |
| Panda (Online) | suspicious |
| QuickHeal | Trojan.Agent.ATV |
| Rising AV | --- |
| Sophos | --- |
| Spybot S&D | --- |
| Sunbelt | TrojanDownloader-Win32/Small.CAA |
| Symantec | --- (Downloader)** |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | Trojan.ZPACK.AP (trojan) |
Quelle: AV-Test, Stand: 14.05.2009, 13:00 Uhr
* vormals SecureWeb-GW, Webwasher
** noch nicht in offiziellen Virensignaturen enthalten
