Nachdem am Dienstag „Otto Feinrich“ (Casin0-Spam) versuchte Anwender auf infizierte Webseiten zu locken, setzten die Täter jetzt auf den Faktor >>Beleidigung und Neugier<<. Seit gestern Abend kursieren Millionen von Phishing-Mails mit dem Betreff „You look really stupid“ . Die Server, von denen die Datei heruntergeladen werden, wechseln dabei ständig -ebenso variieren die Betreffzeilen. Ergänzt wird die personalisierte Phishing-Mail in der Betreffzeile mit dem Vor- und Nachnamen des potentiellen Opfers. Durch den Einsatz personalisierter Spam- und Phishing-Mails versuchen die Täter seit längerem Spam-Filter zu unterwandern.
+++Betrugs-Trick
Der eingebundenen Link verweist scheinbar auf doubleclick.net. Allerdings wird eine sog. Redirection benutzt, um in Wirklichkeit auf expotech.es zu leiten, wo dann die Schadsoftware liegt. Auf der präparierten Seite wird der Trojan-Downloader.Win32.Exchanger.cb installiert, der weiteren Schadcode nachlädt.
++Schadfunktion
Der Schadcode installiert sich im System als Service. Bis zum nächsten Neustart passiert zunächst nichts.
Dann erfolgen gefälschte Meldungen, wonach der Rechner angeblich verseucht sei und warnt vor vermeintlicher Malware. Ein angeblicher Virenscanner wird aufgerufen und gibt dem Nutzer eine lange Liste infizierter Dateien, die natürlich ebenfalls gefälscht sind. Zusätzlich öffnet die Malware Port 1037 TCP – hierüber kann das Programm mit dem Auftraggeber kommunizieren und auch weiteren Schadcode einpflegen.
Der Schädling kopiert sich selbst nach dem Aufruf nach C:\windows\system32\CbEvtSvc.exe -k netsvcs
- In der Registry trägt er sich unter anderemwie wie folgt ein:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc]
Type = 0×00000010
Start = 0×00000002
ErrorControl = 0×00000001
ImagePath = “%System%\CbEvtSvc.exe -k netsvcs”
DisplayName = “CbEvtSvc”
ObjectName = “LocalSystem”
Opt = (zero-length binary value)
+++Absicht:
Die Täter versprechen nach Kauf eines scheinbaren Antiviren-Programms die Reinigung des Sytems. Dies ist selbstverständlich nicht der Fall. Ziel ist es, die Kreditkarteninformationen zu erhalten und weiteren Schadcode zu installieren.
Falls die Phishing-Mail es trotz Spam-Filter in das Postfach schafft, sollten Empfänger diese Mail ungelesen löschen und keinesfalls den Link anklicken. G DATA Security-Lösungen erkennen diesen Schädling.
Per Mail eingesendet an Schlaunews.de
Popularity: 1% [ Kommentar zum Artikel abgeben]
Leser dieses Artikels suchten auch nach:
- Valentinstag 3.0: Liebesgrüße vom Spammer
- Weihnachtsgrüße locken in die Malware-Falle
- Neue Spam-Welle setzt auf Excel-Format
- HTMLunplugged 1.2: Google-Gadget gegen Suchmaschinen-Spam
- Deutschland ist Weltmeister - G DATA präsentiert die Top-Ten der Länder mit den meisten Zombie-PCs
Haftungsauschluss:
Schlaunews.de ist inhaltlich nicht verantwortlich für die von Drittanbietern eingelieferten Pressemeldungen. Die Urheber der Texte stehen am Ende der jeweiligen Pressemeldung, oder sind dort als Quelle verlinkt. Allein diese sind für den Inhalt verantwortlich. Schlaunews.de bietet die Einlieferung kostenloser Pressemeldungen durch Dritte an, macht sich die Inhalte aber nicht zu eigen. Sollte der Urheber nicht ersichtlich sein oder Sie wollen Meldungen löschen lassen, dann besuchen Sie nachfolgenden Link für weitere Informationen:
Hier klicken
Artikel kommentieren
