Vorgebliche Promi-Videos
Falsche MSN-Mails mit Malware-Link
Spam-artig verbreitete Mails fluten die Mailboxen, die vermeintlich vom Empfänger selbst kommen und ihm ein Video einer unbekleideten Hollywood-Schönheit andienen. Sie geben sich dabei als MSN-Abo aus.
Nackte Tatsachen ziehen immer ("Sex sells"), das hat sich auch in der Malware-Szene längst herum gesprochen. Bereits seit einigen Tagen werden immer wieder Mails mit gefälschten Absenderangaben verbreitet, die auf den ersten Blick vom Empfänger selbst zu stammen scheinen. Sie enthalten einen Hinweis auf ein angeblich bestehendes Abo ("MSN Featured Offers") bei Microsofts Online-Dienst MSN, der heute unter "Live.com" firmiert. Der erste Link in diesen Mails zeigt auf eine EXE-Datei, ein Trojanisches Pferd.
Die Mails kommen mit einem Betreff wie "Free Video" oder "Angelina Jolie Free Video.", aber auch "Windows Malicious Software Removal Tool Free Today". Absenderangabe und Empfängeradresse sind identisch um Spam-Filter zu umgehen. Die Mails beginnen meist mit einem Bild, etwa einer Mini-Vorschau auf das versprochene Video und Aufforderungen wie "Click now" oder "Click here". Diese Bilder werden aus dem Web nachgeladen, werden also je nach Mail-Programm angezeigt oder auch nicht. Neuere Varianten kommen ohne nachzuladendes Bild.
Das Link ist mit einem Link unterlegt, das auf eine EXE-Datei im Web zeigt, zum Beispiel "video-nude-anjelia.avi.exe", "nude-anjelina.avi.exe" oder "free.exe". Dabei handelt es sich jedoch um Malware. Alex Eckelberry, Chef von Sunbelt Software, berichtet in seinem Blog, dass derartige Mails, die eine kostenlose Version des (ohnehin kostenlosen) Windows Malicious Software Removal Tool verheißen, eine Link auf ein betrügerisches Antivirusprogramm namens "Antivirus XP 2008" enthalten.
Ein solches auch "rogue antivirus" (oder "rogue antispyware") genanntes Programm meldet gefundene Schädlinge, die es gar nicht gibt oder jedenfalls nicht auf dem jeweiligen Rechner - und selbst falls doch, würde dieses Programm sie nicht entdecken. Das Opfer soll vielmehr dazu genötigt werden eine Vollversion des Programms zu kaufen, die in der Lage sein soll die Schädlinge zu entfernen. Das können die allerdings auch nicht, melden aber natürlich, die hätten die Schädlinge beseitigt.
Echte Antivirusprogramme erkennen hingegen wenigstens teilweise die vorgeblichen Videos als Malware.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XPACK.Gen |
| Avast! | --- |
| AVG | I-Worm/Nuwar.U |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.JOP |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.Packed.512 |
| eSafe | File [100] (suspicious) |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | --- |
| Fortinet | W32/Agent.TRC!tr |
| G-Data AVK | --- |
| Ikarus | Trojan.Peed.JOP |
| Kaspersky | --- |
| McAfee | --- |
| Microsoft | Trojan:Win32/Tibs.J |
| Nod32 | Win32/TrojanDownloader.FakeAlert.EU trojan |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Mal/TibsPk-D |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Packed.Generic.174 |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Crypt.XPACK.Gen |
Quelle: AV-Test (http://www.av-test.de), Stand: 18.07.08, 11:30 Uhr
