August 2011
Mal überlegen: Haben Sie Firefox mal Ihre Email gegeben? Hat irgendwer Firefox seine Email gegeben?
Nicht? Warum fallen dann trotzdem Leute auf eine Email von (angeblich) Firefox herein, die sie zu einem Update des Browsers auffordert und dazu einen Link mitschickt?
Vielleicht sind das dieselben Leute, die nicht darüber nachdenken, dass sie ihrer Bank nie eine Emailadresse gegeben haben und deren angeblichen Emails trotzdem für echt halten…
Derzeit erreichen uns also Updateaufforderungen von Firefox. Deren Zweck ist es aber höchstens, Passworte zu stehlen.
Betreff: New version released.
Mailtext:
Important notice
A Firefox software update is a quick download of small amounts of new code to your existing Firefox browser. These small patches can contain security fixes or other little changes to the browser to ensure that you are using the best version of Firefox available. Firefox is constantly evolving as our community finds ways to make it better, and as we adjust to the latest security threats. Keeping your Firefox up-to-date is the best way to make sure that you are using the smartest, fastest and . most importantly . safest version of Firefox available. A Firefox update will not make any changes to your bookmarks, saved passwords or other settings. However, there is a possibility that some of your Add-ons won.t be immediately compatible with new updates.
For security reasons please update your firefox version now
[LINK]
Mit dem Link wird eine ausführbare Datei zum Download angeboten. Raffinierterweise wird tatsächlich eine Firefoxinstallation der Version 5.0.1 angeboten. Und darin eigeflochten ein Trojaner, welcher Passwörter ausschnüffelt.
Angeblich kommt er vom BKA und er versucht, seine Opfer zu Erpressen…
Die Rede ist vom Trojaner UKASH, benannt nach dem Bezahlservice Ukash, den die Erpresser nutzen, um an ihr Geld zu kommen..
Sobald man sich diesen Trojaner eingefangen hat, meldet er sich mit seiner Erpressung. Dabei behauptet ein Hinweisfenster, es handele sich um einen Virus des BKA und dieser habe illegale Daten, wie z.B. kinderpornographisches Material gefunden.
Aus diesem Grunde würde der Rechner nun gesperrt und wenn der Besitzer des PC nicht 100 Euro zahle, dann würde die Festplatte gelöscht.
Nach Expertenangaben nistet sich das Ding an etwa 30 Stellen im System ein und ist schwer zu entfernen.
Allerdings IST er zu entfernen und wie das geht, schildern das BSI und der Verband eco auf der Seite botfrei.de.
Dort sind 2 PDF-Dateien zu finden, die (für Experten und für Laien) Schritt für Schritt erklären, wie man den Trojaner los wird.
Außerdem findet sich dort eine Telefonnummer, die werktags Unterstützung bietet.
Eine seltsame Mail erreicht derzeit einige Leute. Darin ist die Rede von einer Antwort auf eine Webseitenanfrage.
Clever gemacht ist die Tatsache, dass sogar ein aktuelles Datum verwendet wird. Die Nachricht ist deutsch gehalten, allerdings ganz offensichtlich (fehlende Umlaute und englische Anrede “Hello”) aus einem anderen Land.
Nachrichtentext:
Hello, hierkommt @ dieemailadresse .de.
Die Antwort auf Ihre Frage uber das Profil auf unserer
Website 21.06.2010.
Statistik in der Datei enthalten, wird es ein Vergnugen,
in der Zukunft zusammenarbeiten werden.
ID:7041
Best Regards,
{LINE[nameff]}.
An der Mail befi8ndet sich ein Anhang namens Document56.zip (20.417 Bytes) in dem wiederum eine Datei namens
Document56.doc__________________________________________________________________________________________.exe
enthalten ist (36.864 Bytes). Wie man schon sieht, handelt es sich um eine ausführbare Datei und mit den Unterstrichen versuchen die Virenverbreiter, das zu verschleiern.
Ohnehin würden es vermutlich die meisten “Normaluser” nicht bemerken, weil sie die Standardeinstellung von Windows (Endungen bekannter Dateitypen ausblenden) nie geändert haben.
Threatexpert findet in der Datei einen Trojaner, einen Keylogger. Er zeichnet Tastaturanschläge auf und sendet sie an sein “Herrchen”. So kann man schnell seine Kontozugangsdaten nach Russland oder China senden. Vermutet wird der Urheber in Russland oder Taiwan.
Folgende Dateien legt der Virus an:
%AppData%\Fupe\ibur.exe
%AppData%\Ismiok\bubo.ihx
%Temp%\1.tmp
%System%\xmcn.shq
Virustotal zeigt deutlich, dass die meisten Scanner den Trojaner nicht erkennen.
| AhnLab-V3 |
Downloader/Win32.Generic |
| BitDefender |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| F-Secure |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| GData |
Gen:Trojan.Heur.cqY@ynu0W9ldf |
| Microsoft |
Trojan:Win32/Malagent |
| NOD32 |
a variant of Win32/Kryptik.FCN |
| PCTools |
Downloader.Generic |
| Rising |
Packer.Win32.Agent.bk |
| Sophos |
Mal/Bredo-I |
| Symantec |
Downloader |
Mit unserem Newsletter sind Sie immer auf dem Laufenden
http://www.virenkiller.de/newsletter/