PC-Forum - Drucken

PC-Forum
https://www.everyscript.de/cgi-bin/pc_forum/YaBB.pl
Netzwerke >> Sicherheit >> Vorsicht bei Grußkarten-Mails
https://www.everyscript.de/cgi-bin/pc_forum/YaBB.pl?num=1158770066

Beitrag begonnen von louiggy am 20.09.2006 , 18:34:26

Titel: Vorsicht bei Grußkarten-Mails
Beitrag von louiggy am 20.09.2006 , 18:34:26

Vorsicht bei Grußkarten-Mails

Vorgebliche Grußkarten-Mails von Unbekannten enthalten einen Link zu einer Website, wo die Empfänger angeblich die Grußkarte ansehen können. Tatsächlicher wird den Besuchern der Seite jedoch eine komplexe Malware aufgenötigt.

Auch in dieser Woche werden wieder vorgebliche Grußkarten-Mails Spam-artig verbreitet. Bereits im August gab es eine Welle solcher Mails, die der Verbreitung von Malware dienten ( wir berichteten ). Inzwischen haben die Täter die Website gewechselt und die Malware aktualisiert.

Die Mails kommen mit einem Betreff wie "Sie haben eine Grusskarte bekommen." und einem Frauennamen als Absenderangabe. Die gefälschte Absenderadresse besteht aus einer zufälligen Zeichenkette und der Domain "all-yours.net". Der Mail-Text fordert die Empfänger auf, den enthaltenen Link anzuklicken, um die Grußkarte abzuholen. Der Link führt zur Website "all-yours.2288.org".

Dort wird dem Besucher eine vorgebliche neue Version des Flash-Players aufgedrängt, ohne die er die Grußkarte angeblich nicht anschauen kann. Die Datei "Flash_Player_Installer.exe" ist lediglich knapp 13 KB groß. Der Download-Dialog für diese Datei öffnet sich automatisch bei Aufruf der Seite.

Bei dieser Datei handelt es sich um komplexe Malware. Sie lädt unter anderem weitere Schädlinge aus dem Internet nach, installiert einen neuen Windows-Dienst, manipuliert Dutzende von Registry-Einträgen und installiert ein Browser Helper Object (BHO) im Internet Explorer. Letzteres dient mutmaßlich dazu, eingegebene Anmeldedaten für Web-Dienste oder das Online-Banking auszuspionieren.

Erkennung durch Antivirus-Software:

Antivirus Malware-Name
AntiVir TR/Spy.Agent.HJ.2
Avast! Win32:Hanlo-D [Trj]
AVG ---
BitDefender Trojan.Spy.Agent.HJ
ClamAV ---
Command W32/Threat-HLLSI-based!Maximus (variant)
Dr Web ---
eSafe Trojan/Worm [101] (suspicious)
eTrust-INO ---
eTrust-VET ---
Ewido ---
F-Prot W32/Threat-HLLSI-based!Maximus (variant)
F-Secure ---
Fortinet suspicious
Ikarus Trojan-Spy.Win32.Agent.DI
Kaspersky ---
McAfee --- (Spy-Agent.bk trojan)*
Microsoft ---
Nod32 Win32/TrojanDownloader.Hanlo
Norman ---
Panda Suspicious file
QuickHeal Suspicious (warning)
Sophos Troj/Haxdor-Fam
Symantec --- (Downloader)*
Trend Micro TROJ_HAXDOR.BH
UNA ---
VBA32 Trojan-Downloader.Agent.6
VirusBuster ---
WebWasher Trojan.Spy.Agent.HJ.2
GData AVK ** Trojan.Spy.Agent.HJ

Quelle: AV-Test , Stand: 20.09.06, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

Quelle: PC-Welt

Beiträge die in diesen Foren erscheinen, repräsentieren allein die Meinung der jeweiligen Verfasser.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Inhalte der Beiträge dieser Foren hat und er sich, unabhängig davon, ausdrücklich von den Inhalten sämtlicher Beiträge dieser Foren distanziert und er sich die Inhalte dieser Beiträge unter keinen Umständen zu Eigen macht.
Der Betreiber dieser Website/Domain erklärt hiermit ausdrücklich dass er keinerlei Einfluss auf die Gestaltung und auf die Inhalte von gelinkten Internet-Seiten hat, er sich deshalb in jeglicher Form von den Inhalten der gelinkten Internet-Seiten distanziert und er sich diese Inhalte unter keinen Umständen zu Eigen macht.
Diese Erklärungen gelten für alle im Rahmen dieser Website/Domain veröffentlichten Beiträge wie auch für alle im Rahmen dieser Website/Domain angezeigten Links sowie für alle Inhalte der Internet-Seiten zu denen diese Links führen.