FAKEAV mit neuer Routine

Originalartikel von Kathleen Notario (Threat Response Engineer bei Trend Micro)

Die Sicherheitsforscher von Trend Micro haben eine neue FAKEAV-Variante entdeckt, die nicht nur die übliche betrügerische Alert-Routine durchführt, sondern eine zusätzliche Komponente herunterlädt – nämlich eine .DLL-Datei, die in die LSP-Kette (Layered Service Provider) eingefügt wird. Als Folge davon wird eine .DLL-Datei jedes Mal dann geladen, wenn eine Anwendung Windows Sockets (Winsock) nutzt. LSP-Technologie wird sehr häufig von Malware ausgenutzt. In vorliegendem Fall besteht der Zweck des FAKEAVs darin, Web Browsern den Zugriff auf bestimmte Sites zu verwehren.

Der Code der .DLL-Datei listet eine Reihe von beliebten Websites auf, etwa facebook.com, youtube.com sowie myspace.com. Wird die Datei ausgeführt, so prüft der Code, ob die Anwendung eine der folgenden ist und beginnt dann, Sites zu blockieren:

  • iexplore.exe
  • firefox.exe
  • svchost.exe

Sie ersetzt den HTML-Inhalt der Site mit dem in der Abbildung gezeigten:

Screenshot einer Website mit ausgetauschtem Content

Lediglich Benutzer, die den Registry Key HKEY_CURRENT_USER\Software\IS2010 auf ihren Systemen haben, können auf die Site zugreifen. Besagter Key existierte jedoch nur, wenn die FAKEAV-Anwendung Internet Security 2010 (TROJ_FAKEAL.SMDO, TROJ_FAKEAL.SMDP, oder TROJ_FAKEINIT.BC) vorhanden ist. Der Alert wird solange erscheinen, bis obige FAKEAV-Varianten auf den Systemen „installiert“ sind.

Mit dieser neuen Technik versucht die Malware mehr Angst bei den Nutzern zu schüren, denn sie erweckt den Eindruck, der Zugriff auf die Sites sei tatsächlich restriktiv. Damit ist es noch wahrscheinlicher, dass die User ein Antivirus-Produkt installieren und für das betrügerische FAKEAV zahlen.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt und blockiert über den File Reputation Service das Herunterladen von bösartigen Dateien. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mittels des kostenlosen Tools HouseCall schützen. Dieser Ondemand-Scanner identifiziert und entfernt Viren, Trojaner, Würmer und nicht erwünschte Browser-Plugins.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*