Archiv für den Tag: 04/02/2010

Gefälschte Antworten auf Bewerbungen um Google-Jobs enthalten einen Wurm

Hinterlassen Sie eine Antwort

Originalartikel von Danielle Veluz (Technical Communications bei Trend Micro)

Eine neue Spam-Kampagne verschickt Nachrichten, die vorgeben, von Google zu kommen als Reaktion auf Bewerbungen um Jobs bei der Firma. Damit haben die Spammer eine neue Taktik gewählt, nutzen sie doch sonst eher bestimmte Gelegenheiten wie Feiertage oder gerade viel diskutierte Begebenheiten beziehungsweise Trends, um ihren Spam attraktiv zu machen.

Die Spam-Nachrichten enthalten sogar das offizielle Google-Logo mit einem legitimen From: address-Format. Außerdem ist die Nachricht mit fast perfekter Grammatik verfasst (eher selten in dieser Art der Nachrichten), und das zeigt, es wird immer schwieriger, echte Mail-Nachrichten von gefälschten zu unterscheiden. Und warum sollten die Nutzer am Inhalt der Nachricht zweifeln? Google hat immer behauptet, einen mehr als idealen Arbeitsplatz zu bieten. Daher ist eine solche Mail eine wunderbare Neuigkeit. Dennoch sollten Nutzer an der Echtzeit zweifeln, da sie sich nicht um einen Job beworben haben.



Der letzte Teil der Nachricht ist dann richtig verdächtig, denn der Empfänger wird aufgefordert, einen zip-Anhang CV-20100120-112.ZIP herunter zu laden, der eine weitere Aufforderung zum Download einer weiteren Datei (document.doc) enthält mit einer versteckten Extension .exe. Diese aber enthält den Wurm WORM_SPYBOT.MCP.

Die Cyberkriminellen nutzen auch die bereits bekannte Technik, Leerzeichen einzusetzen, um die tatsächlichen Extensions der Dateianhänge zu verbergen. Damit scheint die Datei die Extension DOC zu haben, tatsächlich aber ist es EXE.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn das intelligente Sicherheitsnetzwerk verhindert, dass Spam die Inboxen der Nutzer erreicht. Außerdem erkennt und löscht es Dateien, die WORM_SPYBOT.MCP enthalten. Nutzer, die keine Lösung von Trend Micro im Einsatz haben, können den kostenlosen Ondemand-Scanner Housecall verwenden, um Viren, Trojaner, Würmer sowie nicht gewollte Browser-Plugins und andere Malware von infizierten Systemen zu entfernen.

Der alte Trick mit angeblich veröffentlichten privaten Fotos

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Ein Typ namens Willie Hickey hat mir eine Nachricht geschrieben, um mir mitzuteilen, jemand habe anzügliche Fotos von mir publiziert und den Link dazu an meine „Freunde“ geschickt:

Mail von Willie Hickey

In der Mail fordert Hickey mich auf, die beigefügte URL anzuklicken, um zu sehen, um welche Fotos es sich handele. Dieses Social Engineering-„Kunstwerk“ soll offensichtlich bei dem Empfänger Angst und Zweifel darüber auslösen, um welche Fotos es sich dabei handeln könnte.

Empfänger sollten auf keinen Fall den Link anklicken, denn es gibt keine Fotos ebenso wenig wie einen Willie Hickey. Der Link aber führt zu einem bösartigen JavaScript, das den Browser auf eine russische IP-Adresse umleitet. Dort werden mehrere PDF-Exploits und ein ActiveX-Exploit genutzt, um eine Variante der ZeuS-Crimeware auszugeben. Dieses Sample hat mit neun von 40 sehr niedrige Entdeckungsraten bei VirusTotal.

Anwender von Trend Micro Lösungen sind über das Smart Protection Network vor dieser bösartigen Website geschützt, denn das intelligente Content-Sicherheitsnetzwerk hat die Site bereits geblockt. Falls jemand eine der meinen ähnliche Mail erhalten und den Link angeklickt hat, kann er/sie auch das kostenlose Tool HouseCall zur Säuberung nutzen.