Archiv für den Monat: November 2009

ZBOT-Spam wieder im Umlauf

2 Antworten

Original Artikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Trend Micro Bedrohungsanalysten haben eine neue ZBOT-Spam-Kampagne aufgespürt. Die E-Mails mit dem Betreff „your photos“ und “some jerk has posted your photo.” informieren die Empfänger darüber, dass „ein Idiot“ deren Fotos ohne Erlaubnis auf einer Site veröffentlicht habe und den entsprechenden Link an die Freunde des Opfers gesendet habe. Dem Empfänger soll vorgegaukelt werden, der Absender handele als „guter Samariter“ und schickt den Link zu der Site. Natürlich zeigt die in der Mail enthaltene URL auf eine Website, die eine Malware verteilt, die Trend Micro als TSPY_ZBOT.CJA identifiziert hat.



Wird TSPY_ZBOT.CJA ausgeführt, so nimmt die Malware Verbindung zu verschiedenen Website auf, um eine weitere bösartige Datei herunter zu laden. Es handelt sich dabei um TROJ_DROPR.KB. Die Spyware besitzt auch Rootkit-Fähigkeiten, mit deren Hilfe sie ihre Prozesse verbergen kann. ZBOT/ZeuS ist eines der berüchtigtsten Botnetze, was den Diebstahl von Identitäten, Geld und Informationen anbelangt.

Nutzern wird dringend empfohlen, keine E-Mails aus unbekannten Quellen zu öffnen. Anwender von Trend Micros Smart Protection Network sind vor diesem Angriff geschützt, denn die Technologie blockiert die Spam-Nachrichten und verhindert den Download der damit in Verbindung stehenden bösartigen Dateien.

Vermeintliche Koobface-Variante greift Skype an

2 Antworten

Original Artikel von Jonathan Leopando (Technical Communications Trend Micro)

Die Aktivitäten des berüchtigten Koobface-Botnet  sind bereits häufig in diesem Blog diskutiert worden. Einige Sicherheitsanalysten erklärten kürzlich, dass das Botnet ein neues Tool zum eigenen Arsenal hinzugefügt habe, da eine neue vermeintliche „Koobface-Variante“ die VoIP-Anwendung Skype attackiert hatte.

Trend Micro identifizierte die „Koobface-Variante“ als TROJ_VILSEL.EA. Der Trojaner stiehlt neben den Login-Daten auch die Kontaktlisten, Telefonnummern und andere Informationen der Nutzer, die Teil seines Skype-Profils sind. Er ist zudem in der Lage, die in Skype eingebauten Instant Messaging-Fähigkeiten zu nutzen, um Links an andere Leute aus der betroffenen Kontaktliste zu verschicken. Alle diese Links führen auf Domänen, die Kopien von TROJ_VILSEL.EA enthalten.

Auch wenn das Verhalten von TROJ_VILSEL.EA dem früherer Koobface-Varianten sehr ähnlich ist (abgesehen von der Zielanwendung), so handelt es sich nicht um ein Mitglied der berüchtigten Malware-Familie. Sowohl der bösartige Code als auch das Netzwerkverhalten unterscheiden sich von den bislang bekannten Koobface-Varianten. Es wäre auch nicht weiter verwunderlich, wenn die Koobface-Kriminellen ihre eigene Variante produziert hätten.

Diese Entwicklung unterstreicht noch einmal die Findigkeit der Cyberkriminellen, wenn es darum geht, ihre Ziele mithilfe von bewährten und getesteten Methoden für die Verbreitung von Malware zu erreichen. Trend Micros Smart Protection Network schützt Nutzer vor diesem Angriff, indem es den Zugriff auf bösartige URLs blockt, um zu verhindern, dass die Systeme der Anwender infiziert werden.

Ein Macbook Air gewinnen, Malware erhalten

Hinterlassen Sie eine Antwort

Original Artikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Die Bedrohungsanalysten von Trend Micro haben eine Spam-Nachricht entdeckt, die vorgibt, von Media Service zu stammen. Die Mail mit dem Betreff „Congratulations“ informiert den Empfänger über den Gewinn eines Macbook Air. Der „Glückliche“ wird aufgefordert, die angehängte ZIP-Datei zu öffnen, die angeblich die nötigen Einzelheiten enthält. Natürlich beinhaltet die Datei stattdessen eine ausführbare Datei (winner.exe), die Trend Micro als TROJ_AGENT.AWYQ identifiziert hat.

Wird der Trojaner ausgeführt, so hinterlässt er eine weitere Malware, nämlich TROJ_CUTWAIL.GO. Cutwail/Pushdo ist eines der berüchtigten Spam-Botnetze, das etwa 7,7 Milliarden E-Mails pro Tage verschickt. Pushdo-Varianten sind prinzipiell Downloader, die erst ein System infizieren und dann das Spam-Modul Cutwail (es gehört derselben Bande) herunter laden. Auch installiert es normalerweise eines oder mehrere verschiedene „Campaign Modules“ oder Drittanbieter-Malware anderer Malware-Gruppen. Das ist der Grund für die vielen festgestellten Unterschiede zwischen den Infektionen. Zusätzlich verbindet sich TROJ_AGENT.AWYQ mit bestimmten Mail-Servern wie Yahoo!, Gmail und Hotmail und verschickt an diese Mail-Anhänge, die Kopien der Malware enthalten.

Nutzer sollten keine E-Mails aus unbekannten Quellen öffnen, vor allem wenn sie sehr verführerisch wirken. Trend Micro schützt die Anwender über das Smart Protection Network vor diesem Angriff, denn es blockt die Spam-Nachrichten, entdeckt und löscht bösartige Dateien.

Vorgetäuschte Trend Micro E-Mails führen zu einer Phishing Site

1 Antwort

Original Artikel von Menard Osena (Solutions Product Manager bei Trend Micro)

Kürzlich haben die Sicherheitsanalysten von Trend Micro Spam-Nachrichten entdeckt, die vorgaben, von Trend Micro zu kommen. Es ist keine ungewöhnliche Technik der Cyberkriminellen, vertrauenswürdige Organisationen für Spam-Kampagnen zu nutzen.

Die E-Mails mit dem Betreff „Malware-Blocking-Tests stellen Trend Micro an die Spitze“ informieren die Nutzer über die kürzlich durchgeführten Tests der NSS Labs. In den Nachrichten wird auch beschrieben, wie die Tests durchgeführt wurden, bei denen es um das Erkennen von „mit Methoden des Social Engineering erzeugter Malware“ geht. Ironischerweise sind die E-Mails selbst ein gutes Beispiel dieser Art von Malware.

Klickt der Benutzer einen der in der Mail enthaltenen Links an, so wird er auf eine Phishing-Site http://l.trndmcro.com/rts/{BLOCKED} umgeleitet. In diesem Fall sind die Phishing-URL und die Domäne bereits geblockt. Außerdem hat Trend Micros Web Reputation auch den Zugang zu der betroffenen URL gesperrt. Laut Whois-Informationen wurde die Domäne im September dieses Jahres erstellt. Abgesehen davon, enthält die die Site keine weiteren Informationen dazu. Der Angriff nutzt auch die so genannte „genuine-looking URL“ Phishing-Technik, wobei die Kriminellen die URL des anvisierten Unternehmens nachahmen, um Nutzerinformationen zu stehlen.

Im Fall einer solchen Attacke sind traditionelle Spam-Filter, die lediglich Pattern nutzen, nicht mehr effektiv. Die Cloud Computing Technologie des Trend Micro Smart Protection Network hingegen, schützt Nutzer, denn sie entdeckt und sperrt Spam-Nachrichten und bösartige URLs auf der Grundlage der Reputationsbewertung.

Job-Spam nutzt Twitter

1 Antwort

Original Artikel von Bernadette Irinco (Technical Communications bei Trend Micro)

TrendLabs-Forscher entdeckten Spam-Nachrichten, die Twitter-URLs enthalten und Betreffs der Art „N3 Zusatzeinkommen verdienen!“, C2 tägliches Zusatzeinkommen 4P“ und „Q0 $$$ Gelegenheit 6O“. Der Spam informiert die Nutzer über mögliche Heimarbeitschancen für Google mit einer guten Bezahlung. Sie sollen dann auf die Twitter-URL klicken, um sich die Details der betrügerischen Chancen anzusehen.

Klickt der Nutzer auf den Link, so landet er auf Twitter-Seite des Absenders, wo eine weitere URL in einem Tweet steht, der den Opfern vorschlägt, online zu arbeiten. Besagte URL zeigt auf eine betrügerische Site über Online-Arbeit, die auch einige Erfolgsstories umfasst. Dieser Spam-Angriff nutzt Twitter als Technik, um Nutzer dazu zu bringen, den Link anzuklicken. Weil Twitter eine vertrauenswürdige Quelle ist, gaukelt der Trick Nutzern vor, die erhaltene Nachricht sei legitim.



Nutzer sollten mit verdächtig aussehenden E-Mails vorsichtig umgehen. Trend Micro schützt Anwender über das Smart Protection Network, das diese Art von Spam blockt. Wer kein Produkt von Trend Micro im Einsatz hat, kann kostenlose Tools wie eMail ID anwenden, um sicher zu sein.