Sicherheitscheck von Doctor Web - die Malware-Bedrohungen im August

[Christoph]

Zitat:

Jeden Monat durchkämmt der Sicherheitsdienstleister Doctor Web private und professionelle Foren aus dem Bereich Viren, Trojaner und Malware und erstellt auf Basis der Einträge eine Sicherheits-Analyse. Zu welchen Ergebnissen das Unternehmen im letzten Monat kommt, finden Sie exklusiv auf magnus.de.

Facebook-User in Gefahr: Trojaner "Jorik" tarnt sich als Bild

Im August wurden besonders jugendliche Facebook-Nutzer vermehrt Opfer von Malware-Attacken.

In den meisten Fällen erhielten sie eine Nachricht von Freunden, in welchen auf einen Link verwiesen wurde, der angeblich zu einem Foto führte. Der Text der Nachricht lautete in den meisten Fällen ungefähr so:

"http://(Link)/(Zeichen- bzw. Zahlenfolge).JPG.scr bist du das?? hahhhhhhahhahahaaah"

Getäuscht von der vermeintlich harmlosen JPG-Endung klickten viele Empfänger tatsächlich auf den Link - dabei übersahen sie das angehängte ".scr" das für "Screensaver" steht und hinter dem sich eine ausführbare Datei verbirgt. Statt ein Bild zu öffnen führten sie unwissentlich eine Schadsoftware aus, die sich über das Facebook-Adressbuch umgehend an alle Kontakte weiter versendete; dies erklärt die Adresse eines Freundes, die bei diesen Nachrichten stets als Absender auftaucht.

In vielen Fällen handelte es sich bei den als Bilder getarnten Downloads um verschiedene Varianten eines Trojaners, der bei vielen Anti-Viren-Herstellern unter dem Namen "Jorik" bekannt ist. Dieser öffnet eine so genannte "Backdoor", also eine Hintertür für Angreifer, auf dem PC. Anschließend kann er über das Chat-Protokoll IRC (Abkürzung für "Internet Relay Chat") Anweisungen entgegennehmen, Informationen über den infizierten PC versenden und weitere Schadsoftware nachladen.

Die Bedrohung durch Facebook-Nachrichten mit Links zu Schadcode besteht auch im September weiter. Schützen kann man sich durch erhöhte Vorsicht beim Öffnen der Links - auch dann, wenn sie scheinbar von guten Freunden kommen. So wird man vor dem Ausführen einer Exe oder Scr-Datei für gewöhnlich gefragt, ob man dies zulassen möchte, während ein Bild im Browser einfach angezeigt wird. Ruhig und besonnen "Klicken" lautet also die Devise.

Unter folgenden Links findet man die Aliases verschiedener Hersteller zu drei der per Facbook-Nachricht verschickten Downloadlinks. Wie man sieht, ist die Erkennungsrate teilweise noch recht gering; Dr. Web allerdings erkennt alle drei Dateien als Schädlinge: album.php , facebook-pic0008422013.exe , winsvc.exe
"Personal Shield Pro" bedroht, statt zu schützen

Die Gefahr durch gefälschte Anti-Viren-Programme bleibt weiterhin aktuell. Über den gesamten Monat besonders häufig anzutreffen war "Personal Shield Pro", das sich nicht nur über dubiose Internetseiten verbreitet, sondern auch über Sicherheitslücken auf seriösen Seiten (Drive-by-Infektionen) den Weg auf zahlreiche PC’s findet.

Hierbei handelt es sich wieder einmal um eine Malware, die vorgibt, Bedrohungen auf dem PC gefunden zu haben - wie hier im Screenshot von www.trojaner-board.de schön zu sehen ist. Dabei geht "Personal Shield Pro" besonders agressiv vor. Von "permanentem Datenverlust", "Verlust der Internetverbindung" oder gar "Systemabsturz" ist in den bedrohlich aufgemachten Warnhinweisen die Rede. Des Weiteren wird eine ganze Liste angeblicher Virenfunde aufgeführt, welche nur durch die Kaufversion von "Personal Shield Pro" entfernt werden könne.

Selbstverständlich gilt hier, für die gefälschte Software keinen Cent zu bezahlen, sondern sie stattdessen restlos löschen zu lassen - zum Beispiel durch Dr. Web-Produkte, mit deren Hilfe "Personal Shield Pro" als Trojan.Fakealert.21226 erkannt und entfernt werden kann.

Besser als "ZeuS": Der neue "Ice IX"

Nachdem im Mai der Quellcode des Baukasten-Trojaners "ZeuS" im Internet publik wurde, existiert nun eine neue, auf diesem Code basierende Bedrohung in Form eines neuen „Baukastens“ für Kriminelle. Unter dem Namen "Ice IX" wird dieser auf dem Schwarzmarkt verkauft und zielt im Wesentlichen auf Online-Banking-Betrug ab.

Mit "Ice IX" erstellte Dateien werden von Dr. Web unter anderem als Trojan.PWS.Panda.866 erkannt.

Quelle: http://www.magnus.de/news/sicherheit...t-1177466.html