Thema: Malware-Spam: Flash-Spiele mit Promis

[SiLæncer]

Mails locken mit einen Video-Spiel, in dem bekannte Schauspielerinnen in eindeutig zweideutiger Aktion zu sehen sein sollen. Tatsächlich steckt im Anhang der Mails jedoch ein Trojanisches Pferd.

Wenn Mails ein Spiel mit nackten Tatsachen prominenter Hollywood-Schönheiten versprechen, hat die Sache meist eine Haken. So auch bei seit Ende letzter Woche Spam-artig verbreiteten Mails, die unter anderem mit Namen wie Nicole Kidman, Angelina Jolie oder Natalie Portman locken. Jeweils eine dieser Damen soll, dem Mail-Text nach, in einem Flash-Spiel in pornografischer Weise in Aktion treten. Die Formulierungen in den Mails sind allerdings so direkt, dass die Virenforscher von F-Secure in ihrem Blog einen Teil des Textes einfach weg gelassen haben.

Die Mails kommen mit einem Betreff wie zum Beispiel "Gift" oder "Pictures" sowie mit gefälschten Absenderangaben. Im Anhang befindet sich ein ZIP-Archiv namens "fungame.zip", in früheren Versionen auch "funny.zip". Es enthält eine Datei namens "fungame.exe", die beim Aufruf kein Spiel startet sondern den Download weiterer Malware.
Diese installiert dann einen Spam-Proxy, der sofort mit dem Versand von Spam-Mails beginnt, sowie ein Rootkit aus der Pandex-Familie. Diese Malware-Tarnkappe besteht aus den Treiber-Dateien "runtime.sys" und runtime2.sys", die im Verzeichnis \Windows\system32\drivers abgelegt werden. Der infizierte Rechner wird damit Teil eines Botnets und zur Spam-Schleuder.

Quelle : www.pcwelt.de

[SiLæncer]

Einmal mehr versuchen Malware-Spammer die Empfänger massenhaft versandter Mails mit dem Versprechen nackter Tatsachen in die Falle zu locken. Statt Nacktfotos von Hollywood-Schönheiten erhalten sie jedoch ein Trojanisches Pferd.

Wie der britische Antivirus-Hersteller Sophos meldet, werden massenhaft Malware-haltige Mails verbreitet, die Nacktfotos bekannter Frauen wie Angelina Jolie, Nicole Kidman oder der Spiel- und Filmfigur Lara Croft verheißen. So heißt es im Mail-Text zum Beispiel: "Shocking photos of nude Nicole Kidman. See it in your attachment." Von Fotos ist jedoch weit und breit keine Spur zu finden.

Die Mails enthalten im Anhang ein ZIP-Archiv namens "amazing.zip", in dem eine Programmdatei mit dem Namen "shocking.exe" steckt. Dabei handelt es sich um ein Trojanisches Pferd, das von Sophos als "Troj/Dloadr-BCP" bezeichnet wird.

Dieser Schädling ist ein so genannter Downloader. Seine Aufgabe ist es, weitere Schädlinge aus dem Internet herunter zu laden und auf dem Rechner zu installieren. Die nachgeladenen Trojanischen Pferde heißen "Troj/NTRootK-BY" and "Troj/Agent-FVT". Das erstgenannte dient dabei als Tarnkappe ("Rootkit") für das zweite.

Der Trick mit angeblichen Bildern nackter Hollywood-Schönheiten ist weder neu noch sonderlich originell. Gerade erst vor ein paar Tagen verhießen ähnliche Mails Flash-Spiele mit Promis, enthielten jedoch ebenfalls nur einen Trojan-Downloader. Es gilt offenbar immer noch: "Sex sells" - auch bei Malware...

Quelle : www.pcwelt.de

[SiLæncer]

Die nächste Welle von Mails, deren Anhang vorgeblich ein Spiel mit pornografischen Inhalten darstellen soll, schwappt in die Mailboxen. Nach Lara Croft dient nun Luke Skywalker neben den Namen von Hollywood-Promis als Zugpferd.

Nackte Tatsachen ziehen immer - auch bei der Verbreitung von Malware. Diese alte Regel machen sich die Programmierer von Schädlingen aus der Familie "Mal/Dropper-L" zunutze. In der letzten Woche verbreiteten sie Mails, die Nacktfotos und ein Spiel mit Hollywood-Schönheiten versprachen. Auch die Tomb-Raider-Protagonistin Lara Croft diente als Lockvogel. In dieser Woche berichtet der britische Antivirus-Hersteller Sophos über die Fortsetzung dieser Malware-Kampagne.

Die Mails kommen mit Betreffzeilen wie "You ask me about this game, Here is it", "Here is it", "Hot pictures", "Something hot" oder "Hot game". Der Text lautet zum Beispiel "Amusing game. Angelina Jolie f**** Luke Skywalker... In your attachemnt." Wahlweise kommen auch "Dart Wader" (sic!) und Harry Potter in Verbindung mit den Namen verschiedener weiblicher Stars zum Einsatz. Im Anhang steckt ein ZIP-Archive namens "game.zip", das eine Datei "game.exe" enthält.
Bei dieser EXE-Datei handelt es sich um einen Trojan-Downloader - um eben jenen von Sophos als "Mal/Dropper-L" bezeichneten Schädling. Dieser lädt weitere Malware aus dem Internet nach und installiert das gleiche Rootkit wie sein Vorgänger (runtime.sys, runtime2.sys) sowie einen Spam-Proxy. Bei Avira heißt der Schädling Worm/Ntech.C, wird also als Wurm eingestuft, weil er nicht nur Spam sondern auch sich selbst per Mail verschickt. Symantec ordnet alle Komponenten unter Trojan.Pandex ein.

Quelle : www.pcwelt.de

[SiLæncer]

Eine weitere Variante der Mails, die vorgeblich Spiele mit Prominenten in nicht jugendfreien Posen liefern, ist derzeit unterwegs. Auch Bill Gates muss dieses Mal als angeblicher Akteur herhalten.

Die Verbreitung eines Trojanischen Pferds, das ein Rootkit aus der Pandex-Familie installieren soll, geht in eine neue Runde. Wie schon zuvor werden Spam-artig Mails verschickt, deren Text ein Spiel verspricht, das im Anhang der Mails zu finden sein soll. Die Texte werden dabei in der Wortwahl immer drastischer - jugendfrei waren sie schon von Anfang an nicht. Und wer würde nicht gern Bill Gates und Paris Hilton bei gemeinsamer Matratzenakrobatik zusehen?

Nach Angaben der Malware-Forscher von F-Secure machten diese Mails gestern etwa ein Viertel der beobachteten Malware aus. Die Mails kommen mit einem Betreff wie "Hot pictures", "Hot game", "Here is it", "You ask me about this game, Here is it" oder "Something hot". Der Anhang trägt den Dateinamen "game.zip" und enthält die Datei "isit.exe" (20 KB).
Dabei handelt es sich um einen Downloader, der mit Hilfe des Internet Explorers einen von mehreren Servern abfragt und von dort einen Rootkit-Installer herunter lädt. Dieser installiert das selbe Rootkit wie seine Vorgänger, indem er die Treiberdateien "runtime.sys" und "runtime2.sys" in das System32-Verzeichnis von Windows kopiert und sie als Dienst registriert. Ferner wird ein Spam-Proxy installiert, der sogleich mit dem Versand von Mails beginnt.

Quelle : www.pcwelt.de

[SiLæncer]

Mit Spam-artig verbreiteten Mails, deren Betreff auf politische Ereignisse in China und Tibet hinweist, werden präparierte Word-Dateien verbreitet, die beim Öffnen ein Trojanisches Pferd installieren.

 Eine neue Welle von Spam-Mails mit schädlichen Dateianhängen meldet der Antivirus-Hersteller Trend Micro. Die Mails kommen mit beliebigen, gefälschten Absenderangaben und einem Betreff, der Bezug nimmt auf angebliche oder tatsächliche politische Ereignisse rund um Tibet. Im Anhang befindet sich ein speziell präpariertes Word-Dokument, das eine bekannte Sicherheitslücke auszunutzen versucht. Wird es mit einer anfälligen Word-Version geöffnet, versucht es ein Trojanisches Pferd zu installieren.

Jake Soriano, Malware-Forscher bei Trend Micro, berichtet im Malware-Blog des Unternehmens, man habe bislang Dateinamen wie "Free Tibet Olympics Protest on Mount Everest.doc", "CHINA’;S OLYMPIC TORCH OUT OF TIBET 1.doc", "2007-07 DRAFT Tibetan MP London schedule.doc", "DIRECTORY OF TIBET SUPPORT GROUPS IN INDIA.doc" oder "Disapppeared in Tibet.doc" beobachtet. Die Dateien würden von Trend Micros Antivirus-Lösungen etwa als "TROJ_MDROPPER.GG" (.GH, .GI, .GJ, .GK) oder "TROJ_MDROPPER.TG" erkannt.

Die präparierten Word-Dokumente enthalten Exploit-Code, der auf eine seit einem Jahr bekannte Sicherheitslücke in Word zielt. Diese wird im Microsoft Security Bulletin MS07-014 behandelt, ein passendes Sicherheits-Update ist verfügbar. Betroffen sind Word 2000 und spätere Versionen, einschließlich Office 2004 für Macintosh, während Office 2007 sowie Office 2008 für Mac nicht anfällig sind.

Nach Angaben von Trend Micro handelt es sich einmal mehr um vergleichsweise wenige Mails, die mehr oder weniger gezielt verschickt werden. Bereits im Oktober 2007 gab es eine Welle ähnlicher Mails, die auf den Protest der Mönche in Birma/Myanmar Bezug nahmen.

Grundsätzlich sollten Sie bei Mails mit Dateianhängen, die unerwartet und/oder von Unbekannten kommen, Vorsicht walten lassen. Dies gilt nicht nur für EXE-Dateien sondern auch für Office-Dokumente, vermeintliche Fotos oder Multimedia-Dateien.

Quelle : www.pcwelt.de