Offenbar sind vermeintliche News über die Pop-Ikone Britney Spears noch immer ein Garant dafür, das Spam-Mails gelesen und darin enthaltene Links angeklickt werden. Denn nach wie vor setzen Malware-Verbreiter auf diesen Köder.

In Spam-artig verbreiteten Mails mit einem Betreff wie "Britney showed it again!" genügt den Verfassern ein einziges Wort, "CLICK", das mit einem Link hinterlegt ist. Dieser führt zu einer Website mit italienischer Adresse, die mit einer Flash-Animation von der bevor stehenden Eröffnung eines Online-Shops kündet - von Britney keine Spur. Im HTML-Quelltext der Seite fällt allerdings eine Menge verwürfelter Javascript-Code auf, der auf Exploits und Malware schließen lässt
Und richtig: im Hauptverzeichnis der Festplatte (C:\) findet sich eine 20 KB große Datei namens "wndrere.exe", die Kontakt mit einem US-Server aufnimmt und von dort eine bei Antivirus-Herstellern bestens bekannte Fassung eines Trojanischen Pferds aus der Pandex-Familie lädt. Die wird zum Beispiel als "507796.exe" im TEMP-Verzeichnis abgelegt, ist 132 KB groß und installiert sogleich ein Rootkit.
Ähnliches meldet der britische Antivirus-Hersteller Sophos. Dessen Direktor Mark Harris berichtet im Unternehmens-Blog von Spam-Mails mit dem Betreff "New Britney naked video", die mit einem schädlichen Anhang daher kommen. Im Text der Mails heißt es "Check zip file in attachment". Wer dem nachkommt und die enthaltene Datei startet, bekommt ebenfalls ein Trojanisches Pferd aus der bei Sophos als "Troj/Pushdo" bezeichneten Pandex-Familie untergeschoben.
Erkennung durch aktuelle Antivirus-Software:
wndrere.exe
|
507796.exe
|
|
---|---|---|
AntiVir
|
Worm/Ntech.V.1
|
TR/Drop.RKit.EY
|
Avast!
|
---
|
Win32:Agent-NGJ [Wrm]
|
Downloader.Agent.14.C
|
BackDoor.Generic7.XXD (Trojan horse)
|
|
A-Squared
|
---
|
Rootkit.Win32.Agent.ey
|
Trojan.Kobcka.AZ
|
Rootkit.146
|
|
ClamAV
|
---
|
Trojan.Agent-6946
|
Command AV
|
---
|
W32/Trojan.AWMI (destructive program)
|
Dr Web
|
BackDoor.Bulknet.97
|
BackDoor.Bulknet
|
eSafe
|
---
|
---
|
eTrust
|
--- (Win32/Cutwail.BU)*
|
Win32/Cutwail!generic
|
Ewido
|
---
|
Rootkit.Agent.ey
|
F-Prot
|
---
|
W32/Trojan.AWMI
|
---
|
Rootkit.Win32.Agent.ey
|
|
Fortinet
|
---
|
W32/Agent.JP!tr
|
Ikarus
|
---
|
Rootkit.Win32.Agent.ey
|
Kaspersky
|
Trojan-Downloader.Win32.Agent.fke
|
Rootkit.Win32.Agent.ey
|
---
|
Spy-Agent.bv trojan
|
|
TrojanDropper:Win32/Cutwail.H
|
TrojanDropper:Win32/Cutwail.K
|
|
Nod32
|
---
|
Win32/Wigon.Z trojan
|
Norman
|
---
|
W32/Rootkit.BBQ
|
Panda
|
---
|
W32/Spammer.AEK.worm
|
QuickHeal
|
---
|
Rootkit.Agent.ey
|
Rising AV
|
---
|
RootKit.Win32.Agent.sq
|
Sophos
|
Troj/Pushdo-Gen
|
Troj/DropRk-A
|
Spybot S&D
|
Worldsecurityonline.FakeAlert,,Executable
|
Smitfraud-C.,,Executable
|
Sunbelt
|
---
|
---
|
---
|
Trojan.Pandex
|
|
Trend Micro
|
---
|
---
|
VBA32
|
---
|
BackDoor.Bulknet
|
VirusBuster
|
---
|
Rootkit.Posh.A
|
WebWasher
|
Worm.Ntech.V.1
|
Trojan.Drop.RKit.EY
|
GData AVK 2007 **
|
Trojan-Downloader.Win32.Agent.fke
|
Rootkit.Win32.Agent.ey
|
Quelle: AV-Test (), Stand: 27.11.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten <BR>
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast