Thema: Trojaner tarnt sich als WM-Spielplan

[SiLæncer]

Das Landeskriminalamt Baden-Württemberg warnt vor einem Trojaner, der per E-Mail bei Internetnutzern eintrudelt und vorgibt, auf eine selbstexrahierende Excel-Datei mit dem Spielplan der Fußball-WM 2006 zu verweisen. Die deutschsprachigen E-Mails sollen als Betreffzeilen Fußball Weltmeisterschaft 2006 in Deutschland, WM 2006 Spielplan - nach Stadten / Stadien oder Spielplan und Spieltermine bei der FIFA Fussball WM 2006 tragen.

Die 54 KByte große Datei googlebook.exe, die den Spielplan enthalten soll, liegt dabei laut der LKA-Meldung auf einem Webserver in den USA und installiert bei Ausführung einen Trojaner auf dem Rechner. Die meisten Antivirenhersteller erkennen den Schädling als Hintertür mit Namen Haxdoor.in. Er nutzt Rootkit-Techniken, um sich zu verstecken. Dabei protokolliert er als Browser-Add-On im Internet Explorer Daten mit, die betroffene Anwender in Web-Formulare eingeben.

Das LKA hat das US-amerikanische Federal Bureau of Investigation (FBI) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den Trojaner informiert. Er reiht sich in eine längere Reihe von Versuchen, arglosen Internetnutzern Schadsoftware mittels Social Engineering unterzuschieben. So versuchte schon eine Variante des Sober-Wurms vor einem Jahr, die sich als Benachrichtigung zur WM-Ticket-Auslosung ausgab, so auf die Rechner der Anwender zu gelangen.

Quelle und Links : http://www.heise.de/security/news/meldung/72717

[SiLæncer]

Ein Formel-Virus für Excel soll Fußball-Fans in die Falle locken.

Bereits in der letzten Woche berichteten wir über ein Trojanisches Pferd, das als angeblicher FIFA-Spielplan für die Weltmeisterschaft ausgegeben wurde. Nun meldet der Antivirus-Hersteller Sophos einen weiteren Virus, der das Thema Fußball benutzt, um Mail-Empfänger zum Öffnen einer infizierten Datei zu verleiten.

Der Virus wird bei Sophos als " XF97/Yagnuul-A " geführt, bei Symantec heißt er " XF.Lugunay ". Beide sehen diesen Virus als wenig verbreitet an. Der Präfix "XF" steht für einen so genannten Excel-Formula-Virus, der sich in den Formelfeldern von Excel verbirgt und in der älteren Programmiersprache "ExcelBasic" geschrieben ist. Im Gegensatz dazu stecken "XM"- oder "X97M"-Viren in Makromodulen und sind in "VBA" (Visual Basic for Applications) programmiert.

Der Virus hat zwei Funktionsteile. Der erste infiziert jede geöffnete Excel-Datei. Der zweite legt eine neue, infizierte Excel-Arbeitsmappe mit einem Namen nach dem Schema "LuuNGayDD-MM-YYYYORIG.xls" an. Dabei steht "DD-MM-YYYY" für das aktuelle Datum, während "ORIG" den Namen einer vorhandenen Datei repräsentiert. Eine eigene Verbreitungsroutine besitzt der Virus nicht. Er setzt auf die Weitergabe der infizierten Excel-Dateien von Anwender zu Anwender.

Die Excel-Arbeitsmappe enthält neben dem Virus eine komplette Ausarbeitung für die Verwaltung einer Spielsaison der britischen Premier League, der höchsten Spielklasse. In den Büros Großbritanniens erfreuen sich Fantasie-Ligen einer gewissen Beliebtheit, in denen sich jeder eine eigene Mannschaft aus existierenden Fußballspielern zusammenstellt und Punkte auf Basis ihrer realen Leistungen sammelt. Nachdem die Saison 2005/2006 gerade zu Ende gegangen ist, mag das Interesse an solchen Spielereien im Moment eher geringer sein als sonst.

Quelle : www.pcwelt.de