Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

Anfang des Jahres erlangte der SASFIS-Trojaner  zweifelhafte Berühmtheit durch gefälschte E-Mails, die vorgaben, von Facebook zu stammen. SASFIS-Infektionen ziehen meist Mengen an weiteren Malware-Infektionen nach sich, denn diese Schädlingsfamilie macht die Systeme anfällig für Botnet-Angriffe, vor allem durch ZeuS und BREDOLAB. Außerdem ist der Schädling mit verschiedenen FAKEAV-Varianten, vor allem mit solchen, die auf Porno-Sites agieren, in Verbindung.

Der TrendLabs-Forscher Shih-Hao Weng entdeckte nun eine neue SASFIS-Variante, die die so genannte Right-to-Left Override (RLO) Technik nutzt. Bisher war die Technik für Spamming bekannt, doch nun hat sie sich zu einer neuen Social-Engineering-Taktik gemausert.

Dieser SASFIS-Trojaner wird über eine Spam-Nachricht mit einem RAR-Dateianhang verbreitet. Darin ist eine XLS-Datei enthalten, die wie ein echtes Excel-Dokument aussieht. Tatsächlich handelt es sich aber um einen Screensaver, den Trend Micro als TROJ_SASFIS.HBC identifiziert hat. Der Trojaner setzt BKDR_SASFIS.AC auf das System, einen Schädling, der es ermöglicht, Threads in den normalen svchost.exe-Prozess einzufügen.

Das gefälschte Excel-Worksheet hat einen Win32 binären Header der Art, wie ihn lediglich ausführbare Dateien haben. Der tatsächliche Dateinamen (ohne die chinesischen Zeichen) ist phone&mail).[U+202e}slx.scr, wobei U+202e den Unicode Control Character darstellt, der das System anweist, aufeinander folgende Zeichen von rechts nach links zu rendern. Dadurch scheint es dem Nutzer, dass der Name der Datei phone&mail).xls.scr ist, und er nimmt irrtümlicherweise an, es handele sich um eine Excel-Datei, die er gefahrlos öffnen kann.

Die Technik nutzt auch andere Dateinamen für denselben Zweck: so etwa BACKS[U+2020e]FWS.BAT und I-LOVE-YOU-XOX[U+2020e]TXT.EXE, die als BACKSTAB.SWF und I-LOVE-YOU-XOXEXE.TXT gerendert werden. Im ersten Beispiel wird eine Batch-Datei als Adobe Flash „verkleidet“, im zweiten Fall eine ausführbare Datei als Text.

Nutzer können sich vor diesen Angriffen auf ihre System über die üblichen Best Practices schützen – etwa indem sie keine verdächtig aussehenden E-Mails öffnen und keine ausführbaren Anhänge herunterladen. Die Trend Micro Anwender sind über das Smart Protection Network geschützt, denn der Email Reputation Service verhindert es, dass Spam-Nachrichten in der Inbox landen. Auch kann der File Reputation Service die bösartigen Dateien als Schädlinge erkennen.

Related posts:

1. Der alte Trick mit angeblich veröffentlichten privaten Fotos
2. Mehrere Hersteller sind von neuen Schwachstellen betroffen
3. Bösartige Werbeeinblendungen führen zu Malware
4. Das Erdbeben in Haiti fördert Malware ans Licht
5. Windows WMI wird für Malware-Aktionen missbraucht

Dieser Eintrag wurde am Montag, den 31. Mai 2010 erstellt und ist in der Kategorie Internet-Bedrohungen, Malware, Spam, Website-Gefährdung zu finden. Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Sie koennen einen Kommentar schreiben, oder einen Trackback auf Ihrer Seite einrichten.