Rubrik: Virenwarnung/Aktuelle Meldungen

Gefährliche Olympia-Mails - Schadcode tarnt sich als Antiviren-Programm

Security-Warnung: Unbemerkt vom Anwender wird per Drive-by-Download versucht einen Trojaner zu installieren

(31.07.08) - G Data warnt aktuell vor "Breaking News" mit Bezug auf die anstehende Olympiade in Peking. Seit dem 29. Juli 2008 schwemmt eine Spam-Welle mit Schlagzeilen - wie "terroristischer Anschlag auf die Olympischen Spiele in Peking aufgedeckt" - in die Postfächer, um Empfänger auf gecrackte Webserver zu locken. Versprochen werden jeweils Videos des Ereignisses - die durch einen "fehlenden" Codecs nicht dargestellt werden. Unbemerkt vom Anwender wird per Drive-by-Download versucht einen Trojaner zu installieren. Die gesendete E-Mail besteht lediglich aus der Schlagzeile und dem eingebundenen Link. Mit einem deutlichen Anstieg derartiger Attacken ist in den kommenden Wochen zu rechnen.

Aufbau:

Die Betreffzeile wird automatisch von den Tätern per Zufallsgenerator generiert. Nach Besuch der Webseite wird versucht durch eine Sicherheitslücke den Trojan-Downloader.Win32.Exchanger.hk per Drive-by-Download auf den Rechnern zu installieren.

Links weltweit in Blogs eingebunden

Die Online-Kriminelle haben bei der vorliegenden Attacke parallel zum Spam-Versand weltweit in Blogs Links zu den verseuchten Seiten hinterlegt. Die Schlagzeile sind hierbei mit denen der Spam-Mails identisch.

Schadfunktion:

·         Der Schädling kopiert sich als CbEctSvc.exe in das Windows-Systemverzeichnis und trägt sich als Service in die Registry ein und wird bei jedem Systemstart mitgestartet: HKLM/SYSTEM/CurrentControlSet/Services/CbEvtSvc

·         Der Prozess stellt eine Verbindung über Port 443 (SSL) her und holt darüber vermutlich noch weiteres Zeug ab.

·         Der laufende Prozess verschickt wiederum massenhaft Mails mit den schon bekannten Sensations-Betreffzeilen, um weitere Opfer auf die entsprechenden Seiten zu locken.

·         Per Drive-By wird auf dem befallenen System die Fake Antispyware-Suite "Antivirus XP 2008" installiert. Diese findet natürlich wieder massenhaft (nicht vorhandene) Schädlinge, die man nur gegen Erwerb der "Vollversion" beseitigen kann. Dafür soll man seine Kreditkarteninfos hergeben und zwischen 50 und 100 Euro bezahlen.

Täter und Ziele

Nach Einschätzung der G Data Security Labs handelt es sich bei den Tätern um die Storm-Botnetz-Bande, die hierdurch versucht weitere Rechner in ihr Netz einzubinden und Kreditkarteninformationen zu stehlen.

Derzeitige Betreffzeilen der versendeten Mails:

·         US athletes banned from Beijing Olympics

·         Olympics opening ceremony to be postponed

·         Beijing postpones Olympics due to McCain-Dalai Lama meeting

·         Terrorist threats on Beijing Olympics discovered

·         Secret - Olympic torch continues journey - video

·         Are Chinese gymnasts too young for Olympics?

(G Data: ra)