Suchergebnisse für Microsoft-Site können zu FAKEAV führen

Originalartikel von Oscar Abendan (Technical Communications bei Trend Micro)

Trend Micro hat jüngst eine Bedrohung aufgedeckt, die von infizierten Suchergebnissen auf der Microsoft Office Site ausgeht. Das Ziel sind Nutzer, die dort Tipps und Hilfsinformationen zur Microsoft Office-Produkten suchen, vor allem zum Löschen von Meeting-Ankündigungen, ohne die anderen Teilnehmer zu benachrichtigen.

Die Eingabe der Suchanfrage „delete meeting without notifying invitees” scheint die Nutzer zu bösartigen Ergebnissen zu führen, und zwar zum Download von zwei bösartigen Dateien webvirusscanner77.com.htm-1 (von Trend Micro als HTML_FAKEALE.JD identifiziert) und Setup102_2045-10.exe-1 oder Setup111060_2045-10.exe-1 (TROJ_FAKEXPA.IA). Beide Dateien sind FAKEAV-Varianten, die bei Ausführung gefälschte Scanning-Ergebnisse zeigen sowie den Nutzer auffordern, eine gefälschte Antivirus-Software zu kaufen.

Der Trend Micro Bedrohungsforscher Normal Ingal stellte fest, dass die Eingabe der Suchanfrage auf der Site nicht nur Ergebnisse von besagter Site liefert sondern aus dem gesamten Web. Dieser Angriff ist vor allem deshalb gefährlich, weil die von der Suchanfrage generierten URLs mit http://office.microsoft.com beginnen und damit den Nutzern Sicherheit vorgaukeln. Mittlerweile hat sich Microsoft des Problems angenommen.

Das Smart Protection Network schützt die Anwender von Trend Micro-Produkten, indem es die Nutzer daran hindert, auf die bösartigen Sites zuzugreifen und auch den Download aller damit zusammenhängender Malware blockiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*