Die terroristischen Anschläge in London sind kaum einen Tag alt, als schon eine Welle von Spam-Mails durch die Mailboxen schwappt, die sich die Ereignisse zunutze macht. Die Mails versprechen mit dem Betreff "TERROR HITS LONDON" und mit der gefälschten Absenderangabe "CNN Newsletter" ein Video über die Anschläge. Der Inhalt der HTML-Mail ist eine Kopie einer CNN-Seite über die Anschläge in London. Tatsächlich enthält der Anhang ein Trojanisches Pferd, das den PC in eine Spam-Schleuder verwandelt.
Der Anhang trägt den Dateinamen "London Terror Moovie.avi [124 Leerzeichen] Checked By Norton Antivirus.exe", zum Teil steckt diese Datei auch in einer ZIP-Datei "LondonTerrorMovie.zip". Wird die Datei geöffnet, installiert sich das Trojanisches Pferd mit einem von mehreren Dateinamen im Windows-Verzeichnis (%windir%). Diese Datei wird in der Windows-Registry eingetragen, damit sie beim Start von Windows geladen wird. Der Schlüssel
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
enthält dann einen der folgenden Einträge:
ctflog manager = %windir%\ctflog.exe
explore manager = %windir%\explore.exe
inetinfomon manager = %windir%\inetinfomon.exe
MPM manager = %windir%\MPM.exe
service manager = %windir%\service.exe
winlog manager = %windir%\winlog.exe
Der Schädling fragt mehrere Web-Server ab und lädt sich Instruktionen zum Versand von Spam-Mails herunter. Er kann auch weitere Schadprogramme herunter laden und ausführen. Ferner sucht er in Outlook, Outlook Express, Eudora und Mozilla nach Informationen über den zum Versenden zu benutzenden Mail-Server.
Symantec erkennt und bezeichnet das Spam-Programm als " Trojan.Spexta ", bei Trend Micro heißt er " TROJ_DONBOMB.A ". McAfee nennt ihn "Spam-SPM", Kaspersky bezeichnet ihn als "SpamTool.Win32.Delf.h".
Die Methode des Köderns mit vermeintlichen Sensationsnachrichten ist nicht neu, wird jedoch immer wieder gerne (und mit Erfolg) eingesetzt.
Quelle und Links :
http://www.pcwelt.de/news/sicherheit/115575/index.html
