August 2011
Mal überlegen: Haben Sie Firefox mal Ihre Email gegeben? Hat irgendwer Firefox seine Email gegeben?
Nicht? Warum fallen dann trotzdem Leute auf eine Email von (angeblich) Firefox herein, die sie zu einem Update des Browsers auffordert und dazu einen Link mitschickt?
Vielleicht sind das dieselben Leute, die nicht darüber nachdenken, dass sie ihrer Bank nie eine Emailadresse gegeben haben und deren angeblichen Emails trotzdem für echt halten…
Derzeit erreichen uns also Updateaufforderungen von Firefox. Deren Zweck ist es aber höchstens, Passworte zu stehlen.
Betreff: New version released.
Mailtext:
Important notice
A Firefox software update is a quick download of small amounts of new code to your existing Firefox browser. These small patches can contain security fixes or other little changes to the browser to ensure that you are using the best version of Firefox available. Firefox is constantly evolving as our community finds ways to make it better, and as we adjust to the latest security threats. Keeping your Firefox up-to-date is the best way to make sure that you are using the smartest, fastest and . most importantly . safest version of Firefox available. A Firefox update will not make any changes to your bookmarks, saved passwords or other settings. However, there is a possibility that some of your Add-ons won.t be immediately compatible with new updates.
For security reasons please update your firefox version now
[LINK]
Mit dem Link wird eine ausführbare Datei zum Download angeboten. Raffinierterweise wird tatsächlich eine Firefoxinstallation der Version 5.0.1 angeboten. Und darin eigeflochten ein Trojaner, welcher Passwörter ausschnüffelt.
Das sollte aber anders laufen!
KEINER der vertretenen Scanner erkannte den Virus, der sich derzeit mit Verspätung als Valetntinskarte tarnt.
Wie heißt es da so schön?
Robbie has created the ecard and wrote this to you:
“You are my sweetheart!”
To view your eCard, click on the following link:
http://ua. entfernt .com/?id=618c2a0426e51a20e90ab22c505a0
Best Wishes, holidaycards.com.
Betreff:
Robbie has sent you a greeting card!
Ist klar, Robbie sendet mir eine Karte… Eine Person von der ich noch nie gehört habe schickt mir von einer unbekannten Domain eine Valentinskarte . 5 Tage zu spät.
Und da ist nicht mehr als ein blödes Bildchen (siehe oben) und ein Link zu einer Datei namens install.exe (441.345 Byte)
Beim ThreatExpert ist man da schon cleverer. Dort hält man das Ding für eine Abart des Waledac. Der hat zum Valentinstag schon für Furore gesorgt. Seltsam genug, dass er immer noch nicht zuverlässig erkannt wird.
Er erzeugt in der Registry einen Key namens PromoReg und versucht, sich mit einem Server in Spanien zu verbinden, der aber mittlerweile abgeschaltet ist.
Er spioniert Tastenanschläge aus, die er per Email versenden kann. Außerdem überwacht er Onlinebankingbesuche und schnüffelt Passworte aus..
Naja, wenigstens bei Virustotal schlagen einige Scanner an:
CAT-QuickHeal – - (Suspicious) – DNAScan
F-Secure – - Suspicious:W32/Malware!Gemini
Microsoft – - Trojan:Win32/Waledac.A
SecureWeb-Gateway – - Trojan.LooksLike.Backdoor.Hupigon
Video-Codecs nennt man eine Art Treiber, mit deren Hilfe man Videodateien ungewöhnlicher Formate auf seinem Player betrachten kann.
Ab uns zu wird man im Internet aufgefordert, doch vor dem Betrachten eines Filmcherns erst den passenden Code zu installieren.
Mit diesem Trick versucht es nun ein wirklich hinterhältiges Virusprogramm.
Trojaner biegt die DNS-Einstellungen des Routers um
So kann es passieren, dass man entweder einem Emaillink folgt oder durchs normale Surfen auf eine angeblich interessante Videodatei aufmerksam gemacht wird. Doch anstatt dort ein Video zu sehen, wird man zum Download eines Codec aufgefordert.
Dieser heißt dann zum Beispiel
red-codec.v.4.103.exe (174,523 Byte)
Antivir erkennt die Gefahr nicht, doch verschiedene andere Scanner schlagen Alarm!
Unter Namen wie DNSChanger.AE, Trojan.DNSChanger.TE, Trojan-Dropper.NSIS.Agent.c oder Troj/Zlobar-Fam erkennen sie allesamt einen Trojaner aus der ZLOB-Familie, der in der Lage ist, einen DSL-Router zu manipulieren.
Dadurch werden alle Routerabfragen dann an eine IP in der Ukraine geschickt, die Seitenaufrufe z.B. auf Phishingseiten umleiten kann.
Wichtig:
Ist das System einmal versaut, hilft kein Reinigen des Rechners. Der Router muss auf die Werkseinstellungen zurückgesetzt werden, um ihn zu reinigen!
Dazu ein Artikel bei PC Welt >>
Keine Codes ungeprüft installieren!
Videocodecs sind meist nicht sehr groß. Es spricht also nichts dagegen, sie erst einmal zu überprüfen. Sowieso sollte man sich überlegen, ob man jeden Codec braucht und installieren sollte… Wenn es sich um eine ungewöhnliches Format handelt, ist die Wahrscheinlichkeit gering, den Treiber noch einmal zu brauchen… also warum sollte man sich dieser Gefahr aussetzen?
Generell sollte man nur Codecs von der Herstellerseite bzw. vertrauenswürdigen Portalen downloaden – UND sie nochmal überprüfen.
Am 16.6.2008 ist die Gefahr relativ wenig bekannt.
Bei Jotti heißt es:
AVG Antivirus DNSChanger.AE gefunden
BitDefender Trojan.DNSChanger.TE gefunden
F-Secure Anti-Virus Trojan-Dropper.NSIS.Agent.c gefunden
Ikarus Virus.Trojan.Win32.DNSChanger.chg gefunden
Kaspersky Anti-Virus Trojan-Dropper.NSIS.Agent.c gefunden
Sophos Antivirus Troj/Zlobar-Fam gefunden
Und Virustotal vermeldet:
Avast 4.8.1195.0 2008.06.15 Win32:DNSChanger-VR
AVG 7.5.0.516 2008.06.15 DNSChanger.AE
BitDefender 7.2 2008.06.16 Trojan.DNSChanger.TE
Fortinet 3.14.0.0 2008.06.15 W32/DNSChanger.0513!tr
Ikarus T3.1.1.26.0 2008.06.16 Virus.Trojan.Win32.DNSChanger.chg
Kaspersky 7.0.0.125 2008.06.16 Trojan-Dropper.NSIS.Agent.c
Prevx1 V2 2008.06.16 Cloaked Malware
Sophos 4.30.0 2008.06.16 Troj/Zlobar-Fam
TheHacker 6.2.92.351 2008.06.16 Trojan/DNSChanger.chg
Update
Dank meiner Einsendung erkennt Antivir den Schädling seit 16.6.2008, 15:45 Uhr und hat ihm den Namen
DR/Drop.Nsis.Agent.C.17
gegeben.