FAKEAV verwendet Conficker-Wurm als Köder

Original Artikel von Robby Dapiosen (Anti-Spam Research Engineer)

Erst vor Kurzem haben Cyber-Kriminelle eine andere Möglichkeit gefunden, ihre Opfer mit Hilfe von Microsoft in die Falle zu locken.

Die unten stehende Abbildung 1 zeigt einen Screenshot einer solchen Kampagne. Der Empfänger der E-Mail wird aufgefordert, die angehängte .zip-Datei (Abbildung 2) herunterzuladen und zu installieren.
Tatsächlich handelt es sich dabei um eine bösartige Datei, die vorgibt, den Computer nach einer möglichen Infektion mit dem Conficker-Wurm zu durchsuchen.

Bemerkenswert an diesen Spam-Mails ist die gefälschte Kopfzeile. Die Adresse im Von-Feld ist identisch mit der Adresse des Empfängers (Abbildung 3).

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Die in der angehängten .zip-Datei enthaltene ausführbare Datei ist eine FAKEAV-Variante, die als TROJ_FAKEAV.BL identifiziert wird.
Nach der Ausführung von TROJ_FAKEAV.BL erscheint ein Willkommensbildschirm des gefälschten Virenschutzes Power-Antivirus-2009, wie in Abbildung 4 gezeigt. Danach folgt ein gefälschtes Suchfenster, damit Benutzer die ausgeführte Datei für eine rechtmäßige Anti-Viren-Anwendung halten (Abbildung 5). Dann erscheinen, wie in Abbildung 6 gezeigt, die folgenden gefälschten Meldungen, die den Benutzer vor einer Infektion warnen.

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Da die Spam-Nachricht gesperrt und die bösartige Datei identifiziert wird, sind Trend Micro Benutzer vollständig vor diesem Angriff geschützt. Kunden ohne Trend Micro Produkte sollten HouseCall verwenden, das Trend Micro Scan-Tool, das Viren, Trojaner, Würmer, unerwünschte Browser-Plug-ins und andere Malware identifiziert und entfernt.

Ein Gedanke zu „FAKEAV verwendet Conficker-Wurm als Köder

  1. Pingback: Achtung Halloween – Der Spuk der Cyberkriminellen beginnt » markus-arlt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*