780349

Schwedische Facebook-Mails mit Malware

18.01.2011 | 17:53 Uhr | Frank Ziemann

Eine Malware-Kampagne mit gefälschten Absenderangaben benutzt verschlüsselte ZIP-Dateien, um eine vorzeitige Entdeckung des enthaltenen Schädlings zu vermeiden. Dieser zeigt typische Merkmale der Zbot-Familie.

Die Verbreitung von Malware mit Hilfe verschlüsselter ZIP-Archive wird bereits seit Jahren immer wieder sporadisch beobachtet. Seit Sonntag Mittag ist eine neue Mail-Welle im Umlauf, die diese Methode nutzt, um ein Trojanisches Pferd aus der Zbot-Familie zu verteilen.

Im eleven Security-Blog berichtet Frank Rickert vom Berliner Sicherheitsunternehmen eleven über die neuesten Malware-Kampagne. Es handelt sich demnach um einfache Text-Mails, deren Betreff meist in schwedischer Sprache gehalten ist, während der Text englisch ist. Ein Drittel der Mails kommt zudem von schwedischen IP-Adressen.

Als Absender ist "FaceBook" angegeben, die verwendeten Absenderadressen gehören jedoch zum Community-Portal hi5.com oder zu der italienischen Domain stanghellinisrl.it , deren Website zurzeit keine Inhalte zeigt. Im Mail-Text heißt es, der Absender habe vor einer Zeit versucht dem Angeschriebenen Fotos zu schicken. Nunmehr habe er diese in eine ZIP-Datei verpackt an diese Mail gehängt.

Die ZIP-Datei ist mit einem Passwort geschützt, sodass Virenscanner auf dem Mail-Server das Archiv nicht auf Malware prüfen können. Damit die Adressaten den Anhang öffnen können, ist das Passwort im Mail-Text angegeben. In der ZIP-Datei steckt ein Schädling, den AntiVir als "BDS/Drop.Bifrost.A" erkennt. Er zeigt Charakteristika der Zbot-Familie.

Der Schädling enthält Funktionen zum Ausspähen von Passwörtern und Bankdaten sowie zur Deaktivierung der Windows Firewall. Er bringt eine Tarnkappe mit und lädt weitere schädliche Dateien aus dem Internet herunter.

PC-WELT Marktplatz

780349