Gefälschte Live-Malware unter Windows verbreitet sich per E-Mail

Original Artikel von Joey Costoya (Advanced Threats Researcher, Trend Micro)

Trend Micro Bedrohungsanalysten stießen vor Kurzem auf eine E-Mail, die einen gefälschten Windows Live Messenger verteilte, der sich unter http://{BLOCKED}s-live-msn.serveftp.com/Windows_Live_9.0_beta.exe verbarg (entdeckt als WORM_VB.PAB). Die .EXE-Datei ist natürlich nicht der „echte“ Windows Live Messenger, sondern ein Bot, der an einen IRC-basierten C&C berichtet, mit den folgenden Angaben zum infizierten System:

Server: {BLOCKED}s.rvsanmiguel.com
Server-IP: {BLOCKED}.{BLOCKED}.110.141
Port: 6767
Serverschlüssel: m4s3rvp4ssz
Kanal: #s3k4nt
Kanalschlüssel: m4n0sp4z

Zum Vergrößern klicken

Abbildung 1: Beispiel für Spam-Mail

Die Hauptfunktion dieses Bots scheint das Senden von MSN-Spam zu sein. Zum aktuellen Zeitpunkt ist der C&C-Kanal inaktiv, da er noch keine Befehle ausgegeben hat. Abgesehen von MSN-Spam war der besagte Bot auch so konzipiert, dass er sich über das automatische Starten von USB-Daten und über P2P-Netzwerke wie Kazaa und Limewire verbreitete.

Benutzer von Windows Live Messenger sollten daher also keinesfalls auf den bösartigen Link in der E-Mail klicken, um eine Infektion zu verhindern. Das Trend Micro Smart Protection Network sperrt diesen bösartigen Link bereits und erkennt den gefälschten Windows Live Messenger als WORM_VB.PAB.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*