Falsche StudiVZ Nachricht enthält Trojaner
Datum 13.08.2008 | Kategorien Internet, Sicherheit, SoftwareEin Freund bekam im StudiVZ von einem weiteren Freund eine Nachricht mit einem Link zu einem angeblichen Bild. Diesen klickte er nach einem spannenden Text dann auch an, was sollte auch passieren, denn die Endung war .jpg. Doch ohne weiter nachzudenken hatte er die verlinkte Datei CIMG_72361.scr, welche nach Aufruf des Links kam, runtergeladen und ausgeführt. Anschließend bekam er nur eine Fehlermeldung und er wurde skeptisch und fragte mich.
(Nachricht aus Sicherheitsgründen teilweise verändert.)
hey
Guck dir ma das Bild an^^ erinnerste dich noch dran?
Leicht peinliche Aktion
http://xxxxoad.ws/viewimxx.php?= xxxxxG_72xxxx1.jpg
Lg!!
Ich wollte die Datei analysieren, doch bevor ich das machen konnte, bekam ich schon von Avast die Sicherheitsmeldung vor einem Backdoor. Avira erkannte unter den aktuellen Signaturen die Datei noch nicht, so blieb die Frage nach einem Fehlalarm oder Tatsache. Doch der Virustotal Scan deutete schon auf einiges hin und schlug die Hoffnung nach einem Fehlalarm weit zurück, denn der Trojaner wurde schon von vielen anderen Virenscannern erkannt. Trotzdem habe ich die Datei noch an Avira zur Analyse geschickt und bekam schon heute die Antwort, dass es sich um einen Trojaner handelt. Zudem sind nun alle Avira Nutzer, die den Trojaner noch nicht ausgeführt haben geschützt, bei aktuellen Signaturen.
In der cmd Konsole habe ich dann netstat -a ausgeführt und eine verdächtige IP Adresse gefunden. Zusätzlich habe ich über einen Top Level Domain die Anschrift rausbekommen, welche jedoch nicht unbedingt stimmen muss. Die Webseite, welche meiner Meinung nach auch noch eine Flash Sicherheitslücke ausnutzen will, ist auf Funpic gehostet.
Fraglich bleibt nun noch, ob ich den Webspace schon melden sollte oder lieber die Polizei einschalte, denn Funpic würde den Space einfach nur löschen und somit Beweise vernichten. Es handelt sich hierbei wahrscheinlich um einen Poison Trojaner. Wobei ich jedoch nicht weiß, ob der sich ohne weitere Programmierung schon automatisch über schülerVZ, studiVZ oder andere Wege (ICQ) verbreiten kann.
Wie ihr seht, muss es sich nicht immer um eine Nachricht eines bekannten und wohl vertrauenswürdigen Absender handeln, auch wenn es äußerlich so aussieht. Programme können heutzutage einiges.
Hi, kannst du mehr Informationen zu dem Fall an ops at studivz dot net schicken? Z.B. den Sender und Empfänger, dann schauen wir uns das mal genauer an.
Grüße aus Berlin
Hallo,
. Der Freund, welcher die Nachricht abschickte meinte nur, dass er sich vielleicht etwas eingefangen hat und er die Nachricht selbst nicht verschickt hat. Ich fände eine Warnung in den schwarzen Kästen gut, doch bitte keine Verlinkung auf diese Seite, da sie den Ansturm wohl nicht aushalten würde.
wie kommt es, dass ihr so schnell diesen Beitrag gelesen habt? Der ist doch erst vor ein paar Sekunden erschienen
Sender und Empfänger werde ich schicken können, wenn es mein Freund genehmigt.
Puuhhh.. ich hab so eine Nachricht auch bekommen, aber da ich immer sehr skeptisch bin, klick ich meistens nix an, besonders in Nachrichten von Leuten die ich nicht kenne. Sowas kann nur schiefgehen.
Leider hab ich meine Nachricht schon gelöscht, ansonsten hätt ich auch aushelfen können.
Lg Claudia
Claudia, weißt du von wem du sie bekommen hast? Dann schick uns die Nummer von dem Absender per Mail.
@elexpress: wir lesen eben auch Blogs.
Ich glaube der hat sich bisher verbreitet wie sonst was. Das Problem ist, das die Meisten diese Malware mit Humor nehmen und dabei nicht bedenken, was es für einen Schaden anrichtet. Erst wenn der Angreifer in seiner Liste der noch zu ändernden Passwörtern bei den entsprechenden Nutzern angekommen ist, werden sie wohl aufmerksam und sehen die Folgen.
@ Nils
. Dachte eher daran, dass ihr eigene Robots habt die nach Keywörtern wie studiVZ und schülerVZ suchen.
Glaube ich ja nur wäre ja ein extremer Zufall, dass ihr genau in dem Moment hier gelesen habt
Haha wie geil ist das denn? Elexpress denkst du die Ploizeit würde was dagegen machen? Zu kleine Fische und wenn er dann schon einen vorgebauten Trojaner benutzt, kann es sich nur um ein Kiddy handeln und wer nutzt schon Funpic?
Technorati nutzt ihr doch oder?
Aber der Oberhammer das studiVZ Blogs liest
Naja ich geh lieber zu Facebook, da habe ich sowas noch nicht erlebt und eigentlich sollte man studiVZ boykottieren! Ihr wisst warum!
@ Freetagger
Nur weil die Bezeichnung unter Avast Poison hieß, muss das noch nicht heißen, dass es ein Trojaner Builder ist. Zudem denke ich sehr das die Polizei denen nachgehen wird, wenn ich denen schon Adresse und IP gebe.
Funpic ist einer der bekanntesten Freehoster (wenn auch nicht einer der Besten – bplaced.net ist das nämlich aus meiner subjektiven Sicht) und es sagt nichts darüber aus wie professionel ein Angreifer ist.
Ich glaube ob Facebook oder studiVZ spielt da nicht direkt eine Rolle, es sei den Facebook verlangt vor Nachrichtenversand eine Captchaeingabe oder hat andere Sicherheitsmethoden. Jedoch wäre eine Captchaeingabe auf die Dauer ebenfalls nicht unschlagbar sicher.
Ich bin mir nicht sicher, ob es ein Builder war oder ein professioneller Identitätsgeist, denn ich glaube kaum, dass er manuell die Nachrichten über die geloggten Accounts verschickt und zudem ist meiner Meinung auch ein Kiddy nicht so leichtsinnig und gibt seine realen Daten offen für Whois-Abfragen preis.
Ach was ich noch vergessen habe. Dadurch, dass sich das Teil wohl sehr schnell verbreitet und somit ein hoher Schaden entsteht, wird es auch für die Polizei interessant. Zudem lasse ich ob Polizei oder nicht in den Händen meines Freundes.
Mhh also schickt sich dieser Trojaner an SchülerVZ Mitglieder, via PM, wenn ich das so richtig verfolgt habe. Oder ist es ein Kiddy der einfach wahlos 100x Leute am Tag anschreibt?
Das ist der Punkt den man klären müsste.
[...] Netzwerken, sowie auch per Mail mittlerweile immer mehr für Phishingangriffe genutzt oder um Malware zu [...]