Es werden wieder Spam-Mails verbreitet, die vorgeben sensationelle Nachrichten zu enthalten. Die Links in den Mail führen zu einer Website, die den Download einer EXE-Datei startet. Darin steckt ein Trojanisches Pferd.
Die Malware-Spammer kombinieren wieder zwei Maschen, die sie bereits früher eingesetzt haben - offenbar echt erfolgreich. Sie versenden massenhaft Mails, die vorgebliche Sensationsmeldungen mitbringen sollen. Die Mails enthalten einen Link zu einer von vielen gehackten Websites, die ein scheinbare Vorschau auf ein Videofenster zeigen. Eine vorgetäuschte Fehlermeldung nötigt den Besucher dann zum Download einer Software-Komponente, die vorgeblich zum Anzeigen des Videos erforderlich ist. Es handelt sich dabei jedoch um ein Trojanisches Pferd.
Die Mails tragen einen Betreff wie "Breaking news! Be the first to know.", "Astonishing! Please take a look.", "Sensational news! Check the message." und dergleichen mehr. Der Text besteht aus einer Zeile mit einer Schlagzeile, die vorzugsweise eine frei erfundene Meldung über US-Prominente wie Barack Obama, Kevin Federline oder Paris Hilton behandelt. Es folgt ein Link mit dem Text "READ FULL STORY", der zu einer gehackten Website führt.
Dort findet sich ein Bild, das den Eindruck eines Videofensters vermitteln soll. Eine vorgetäuschte Fehlermeldung nötigt zum Download einer Datei namens "video98.exe". Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet herunter lädt und installiert.
Die Erkennung durch aktuelle Antivirus-Programme zurzeit noch etwas lückenhaft.
|
Malware-Name
|
|
|---|---|
|
AntiVir
|
TR/Crypt.XPACK.Gen
|
|
Avast!
|
---
|
|
I-Worm/Nuwar.V
|
|
|
A-Squared
|
---
|
|
Trojan.Downloader.Exchanger.Gen.2
|
|
|
CA-AV
|
---
|
|
ClamAV
|
---
|
|
Command AV
|
---
|
|
Dr Web
|
---
|
|
Ewido
|
---
|
|
Fortinet
|
suspicious (W32/TibsPak.PACKED!tr)*
|
|
F-Prot
|
---
|
|
Trojan-Downloader.Win32.Exchanger.ut
|
|
|
G-Data 2008
|
Trojan-Downloader.Win32.Exchanger.ut
|
|
Ikarus
|
Trojan.Crypt.XPACK
|
|
K7 Computing
|
---
|
|
Kaspersky
|
Trojan-Downloader.Win32.Exchanger.ut
|
|
Tibs-Packed (trojan)
|
|
|
TrojanDownloader:Win32/Cbeplay.I
|
|
|
Nod32
|
Win32/Agent.ETH trojan
|
|
Norman
|
---
|
|
Panda
|
suspicious
|
|
QuickHeal
|
Suspicious (warning)
|
|
Rising AV
|
---
|
|
Sophos
|
Mal/EncPk-DA
|
|
Spybot S&D
|
Worldsecurityonline.FakeAlert,Malware,Executable
|
|
Sunbelt
|
---
|
|
--- (Trojan.Erotpics)*
|
|
|
Trend Micro
|
--- (TROJ_DLOAD.KD)*
|
|
VBA32
|
Malware-Cryptor.Win32.General.3 (suspected)
|
|
VirusBuster
|
---
|
|
WebWasher
|
Trojan.Crypt.XPACK.Gen
|
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (
http://www.av-test.de
), Stand: 03.09.08, 13:30 Uhr