« vorheriger Eintrag
nächster Eintrag »

FAKEAV verwendet Conficker-Wurm als Köder

Original Artikel von Robby Dapiosen (Anti-Spam Research Engineer)

Erst vor Kurzem haben Cyber-Kriminelle eine andere Möglichkeit gefunden, ihre Opfer mit Hilfe von Microsoft in die Falle zu locken.

Die unten stehende Abbildung 1 zeigt einen Screenshot einer solchen Kampagne. Der Empfänger der E-Mail wird aufgefordert, die angehängte .zip-Datei (Abbildung 2) herunterzuladen und zu installieren.
Tatsächlich handelt es sich dabei um eine bösartige Datei, die vorgibt, den Computer nach einer möglichen Infektion mit dem Conficker-Wurm zu durchsuchen.

Bemerkenswert an diesen Spam-Mails ist die gefälschte Kopfzeile. Die Adresse im Von-Feld ist identisch mit der Adresse des Empfängers (Abbildung 3).

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Die in der angehängten .zip-Datei enthaltene ausführbare Datei ist eine FAKEAV-Variante, die als TROJ_FAKEAV.BL identifiziert wird.
Nach der Ausführung von TROJ_FAKEAV.BL erscheint ein Willkommensbildschirm des gefälschten Virenschutzes Power-Antivirus-2009, wie in Abbildung 4 gezeigt. Danach folgt ein gefälschtes Suchfenster, damit Benutzer die ausgeführte Datei für eine rechtmäßige Anti-Viren-Anwendung halten (Abbildung 5). Dann erscheinen, wie in Abbildung 6 gezeigt, die folgenden gefälschten Meldungen, die den Benutzer vor einer Infektion warnen.

Zum Vergrößern klicken
Zum Vergrößern klicken
Zum Vergrößern klicken

Da die Spam-Nachricht gesperrt und die bösartige Datei identifiziert wird, sind Trend Micro Benutzer vollständig vor diesem Angriff geschützt. Kunden ohne Trend Micro Produkte sollten HouseCall verwenden, das Trend Micro Scan-Tool, das Viren, Trojaner, Würmer, unerwünschte Browser-Plug-ins und andere Malware identifiziert und entfernt.

Related posts:

  1. Gefälschter Sponsorenlink führt zu FAKEAV
  2. Vom Regen in die Traufe: KOOBFACE oder FAKEAV?
  3. Facebook-Anwendungen für Phishing verwendet
  4. Warnung vor Feiertags-Spam
  5. Betrügerischer Virenschutz beendet EXE-Dateien

Dieser Eintrag wurde am Donnerstag, den 22. Oktober 2009 erstellt und ist in der Kategorie Datenverlust, Internet-Bedrohungen, Malware, Sicherheitslücke zu finden. Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Sie koennen einen Kommentar schreiben, oder einen Trackback auf Ihrer Seite einrichten.

Ein Kommentar zu “FAKEAV verwendet Conficker-Wurm als Köder”

  1. Achtung Halloween – Der Spuk der Cyberkriminellen beginnt » markus-arlt.de
    am 30. Oktober 2009 um 7:11 pm Uhr.

    [...] FAKEAV, also gefälschte Antivirenlösungen, haben das Web schon mehrere Male unter Druck gesetzt. Die meisten Angriffe nutzten eine perfide Einschüchterungstaktik und zeigten einen Blue Screen oder gefälschte grafische Benutzerschnittstellen, um Anwender vor Infektionen zu warnen. Einige der gefährlicheren FAKEAV-Varianten wandte sogar eine „Lösegeld“-Taktik an. User, die einem FAKEAV-Angriff zum Opfer fallen, werden im Endeffekt nutzlose Anwendungen kaufen, oder sogar kritische Informationen preisgeben neben ihrem hart verdienten Geld. Bei einem Durchschnittspreis von 50 Dollar pro Stück wird klar, dass mithilfe von FAKEAV gutes Geld zu machen ist. Deshalb erwarten wir künftig noch mehr FAKEAV-Angriffe. [...]

Einen Kommentar schreiben:

Spamschutz