Neue Scareware-Taktik soll weitere FAKEAV-Käufer anlocken

Originalartikel von Jeffrey Bernardino (Threat Response Engineer bei Trend Micro)

Eine weitere FAKEAV-Pattern hat TrendLabs als TROJ_FAKEAV.BLW identifiziert. Wie auch frühere Varianten erscheint die Malware als legitime Antivirusanwendung, die gefälschte „Erkenntnisse“ aufzeigt, Firewalls und weitere Sicherheitsfunktionen außer Kraft setzt sowie Popup-Warnungen erzeugt, um betroffene Nutzer dazu zu bewegen, gefälschte Antivirus-Software zu kaufen.

Doch anders als die Vorgänger, nutzt diese Variante den Dateinamen AV.exe. Trifft die Malware auf einen Computerlaien, so mag dieser glauben, es sei eine legitime Antivirusanwendung. Sie nutzt Registry Shell-Spawning als Autostart-Technik, und das bedeutet, die Malware wird jedes Mal ausgeführt, wenn ein Nutzer eine Datei mit der .exe-Endung ausführt. Sie verwendet einen der folgenden Anwendungsnamen:

  • %1 Antispyware 2010
  • Antivirus %1 2010
  • %1 Guardian 2010
  • %1 Guardian
  • %1 Defender 2010
  • %1 Antivirus
  • %1 Antivirus 2010
  • %1 Antivirus Pro
  • %1 Antivirus Pro 2010
  • %1 Internet Security
  • %1 Internet Security 2010

%1 bezieht sich auf das Betriebssystem der betroffenen Maschine. Damit kann die Malware die Funktionalität des Betriebssystems auf der infizierten Maschine nutzen. Wann immer ein infizierter Nutzer versucht, mit dem Internet Explorer oder Firefox ins Internet zu kommen, zeigt die Malware Warnungen an, der Browser sei bösartig.

Damit verursacht der Schadcode Panik, denn die beiden stellen die am weitesten verbreiteten Browser dar – und möglicherweise wird der Nutzer das betrügerische Produkt kaufen, denn er wird auf mehrere betrügerische Antivirus-Domänen geführt. Diese Liste stellt sicher, dass die Malware auf die anderen Domänen zugreifen kann, auch wenn eine oder mehrere bereits vom Netz genommen wurden. Schließlich verhindert die Malware, dass ein Nutzer Dateien eines Sicherheitsherstellers ausführt und somit, dass der betroffene Computer gescannt wird.



Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn die Content-Sicherheitsinfrastruktur entdeckt und blockiert über den File Reputation Service das Herunterladen von bösartigen Dateien. Diejenigen, die keine Trend Micro-Produkte im Einsatz haben, können sich mittels des kostenlosen Tools HouseCall schützen. Dieser Ondemand-Scanner identifiziert und entfernt Viren, Trojaner, Würmer und nicht erwünschte Browser-Plugins.

Ein Gedanke zu „Neue Scareware-Taktik soll weitere FAKEAV-Käufer anlocken

  1. Pingback: Tweets die Neue Scareware-Taktik soll weitere FAKEAV-Käufer anlocken » blog.trendmicro.de erwähnt -- Topsy.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*