Mit der Frage nach dem vermeintlichen Mörder des King of Pop locken Malware-Spammer ihre Opfer auf präparierte Websites. Diese bieten jedoch keine Informationen sondern Malware an.
Die Online-Kriminellen, die eben noch mit falschen Outlook-Updates auf Bauernfang gegangen sind, habe bereits eine weitere Masche am Start. Sie greifen Spekulationen darüber auf, ob Michael Jackson umgebracht wurde. Mit entsprechend aufgemachten Spam-Mails locken sie die Mail-Empfänger auf vorbereitete Web-Sites, die Malware bereit halten. Auch PDF-Exploits werden wieder eingesetzt.
Die massenhaft verbreiteten Mails kommen mit der Absenderangabe "x-files" und dem Betreff "Who killed Michael Jackson?". Im Gegensatz zu den vorgeblichen Microsoft-Mails haben sich die Spammer mit der Gestaltung dieser Mails keine Mühe gegeben. Eine schnöde Text-Mail fordert den Leser auf: "Visit X-Files to see the answer", gefolgt von einem Link.
Der Link führt zu einer von vielen präparierten Websites identischer Machart. Eine Javascript-Animation zieht zunächst die Aufmerksamkeit des Betrachters auf sich. Sie ist im Stil der "Matrix"-Filme gehalten und bringt langsam den Text "Michael Jackson. X-Files." hervor. Ein Download-Link verspricht geheime Informationen und Fotos.
Bei der Datei namens "x-file-MJacksonsKiller.exe" handelt es sich jedoch um Malware aus der Zbot-Familie. Die Seiten laden außerdem einen Iframe von einem Server in der Türkei. Dieser versucht mit Exploit-Code für eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader eine weitere Zbot-Variante einzuschleusen. Server und Exploit-Code sind identisch mit der letzten Variante des falschen Outlook-Updates .
|
Antivirus
|
Malware-Name
(EXE-Datei)
|
|---|---|
|
AntiVir
|
---
|
|
Authentium
|
W32/Heuristic-CO3!Eldorado
|
|
---
|
|
|
---
|
|
|
Trojan.Spy.ZBot.VG
|
|
|
CA-AV
|
---
|
|
ClamAV
|
---
|
|
Dr Web
|
---
|
|
Eset Nod32
|
Win32/Kryptik.VR trojan (variant)
|
|
Fortinet
|
---
|
|
F-Prot
|
---
|
|
F-Secure 2009
|
---
|
|
F-Secure 2010
|
---
|
|
G-Data AVK 2008
|
---
|
|
G-Data AVK 2009
|
Trojan.Spy.ZBot.VG
|
|
Ikarus
|
---
|
|
ISS VPS
|
---
|
|
K7 Computing
|
---
|
|
---
|
|
|
---
|
|
|
McAfee Artemis
|
---
|
|
McAfee GW Edition
|
Trojan.Crypt.LooksLike.ZPACK
|
|
---
|
|
|
---
|
|
|
---
|
|
|
Panda (Online)
|
---
|
|
QuickHeal
|
---
|
|
Rising AV
|
Packer.Win32.UnkPacker.a [Suspicious]
|
|
Sophos
|
Mal/Zbot-P
|
|
Spybot S&D
|
---
|
|
Sunbelt
|
VIPRE.Suspicious
|
|
---
|
|
|
Trend Micro
|
---
|
|
VBA32
|
---
|
|
VirusBuster
|
---
|
Quelle:
AV-Test
, Stand: 01.07.2009, 14:00 Uhr