Ein vorgeblicher Flash-Player-Installer installiert Malware, einschließlich eines Rootkits.
In der letzten Woche wurden Spam-artig Mails verbreitet, die den Empfängern verkündeten, sie hätten eine Grußkarte erhalten. Die Mails enthielten einen Link und die Aufforderung diesen anzuklicken. Wer dem Folge leistete, lief allerdings Gefahr seinen PC mit Malware zu verseuchen.
Die Mails kamen mit einem Betreff wie "Sie haben eine Grusskarte bekommen." und enthielten keine Anhänge. Das scheinbare Sendedatum der Mail lag zum Teil mehrere Jahre zurück. Im Text der Mails hieß es:
"Hallo,
Sie haben eine Grusskarte bekommen, klicken Sie auf dem unten
stehenenden Link, um Ihre Karte abzuholen.
Drucken Sie hier
Note:
Do not reply to this e-mail, it will be sent to "greeting cards". "Der Link führte zur Website "greeting-ecards.org", die mittlerweile nicht mehr erreichbar ist. Die aufgerufene Seite präsentierte dem Besucher die Meldung, er benötige eine neuere Version des Flash-Players - auch wenn dieser bereits die neueste Version installiert hatte. Zugleich öffnete sich ein Download-Dialog, der eine Datei namens "install_flash_player.exe" herunter laden sollte.
Wird die Datei auf dem PC ausgeführt, lädt sie weitere Schädlinge aus dem Internet herunter. Darunter befindet sich eine Datei "avupdate2.sys", die als neuer Dienst mit dem Namen "AVupdate service interface X2" registriert wird. Dabei handelt es sich um ein Rootkit aus der Haxdoor-Familie. Im TEMP-Verzeichnis werden einige Dateien mit Namen wie "tXmp007.exe" angelegt. Sie enthalten weitere Malware, können jedoch auch leer sein, falls es dem Schädling nicht gelungen ist, weitere Downloads durchzuführen.
Quelle :
www.pcwelt.de
