[ Menu ]

Malware Honeypots locken mit heisser Story

Beitrag drucken

Donnerstag, 13. März 2008

HonigtopfFindigen Cyberkriminellen gehen die Ideen anscheinend nie aus. Heute habe ich ein E-Mail von einer angeblichen “Alicia Doran [vassals5@giriofer.com]” bekommen, in der von einer Explosion in einem Atomkraftwerk in der Nähe von Genf und einer “sich erstreckenden Strahlungswolke” die Rede ist. Die Behörden würden versuchen, die Informationen darüber zu unterdrücken, und hätten sogar zeitweise den “Strohm” (Original-Schreibfehler) abgeschaltet. Die Angelegenheit würde aber von “Amtsträgern” inoffiziell bestätigt. Am Ende des Schreibens lockt ein Link (http://www.financial-expret.cn/aes/ – NICHT AKTIVIEREN!) auf den “LiveJournal Blog” mit weiteren Enthüllungen zur vermeintlich heissen Story.

Allein der Name der Vertipper-Domain (expret anstatt expert) in China verheisst mir bereits Gefahr. Ich habe die Seite trotzdem mit desaktiviertem JavaScript im Firefox besucht (bitte nicht einfach so nachahmen):

financial-expret.cn

Auf der sehr einfachen Webpage (auf das Bild oben klicken, um es gross zu sehen) wartet bereits ein Schadprogramm namens “iPIX-install.exe”, das auf dem Computer des Benutzers installiert werden möchte. Es tarnt sich als Link auf ein zu installierendes Plugin, welches benötigt wird, um die Story anzusehen. Wer möchte sich diese Skandalgeschichte schon entgehen lassen? Als ich das angebliche Plugin herunterladen will, warnt mich mein Virenwächter vor dem Trojaner “TR/Buzus.bis”:

financial-expret.cn Trojaner-Warnung

Mit immer unverschämteren und rafinierteren Methoden versuchen Cyberkriminelle, ihre Schadsoftware auf fremden Rechnern zu installieren, um diese nach verwertbaren Informationen (z.B. Bankdaten) auszukundschaften und als Botnetz-Agent zu missbrauchen. Als Laie wäre vielleicht sogar auch ich zum Opfer geworden. Domains in China, Russland und Rumänien (wo die meisten dieser Schädlinge herkommen) sollte man daher gleich in der Firewall sperren, wenn man nicht auf eine bestimmte Website unter diesen Top Level Domains (.ru, .cn und .ro) angewiesen ist.

Update 14.03.2008:
Technische Details zum Schädling gibt’s bei abuse.ch.

in Kategorie: IT-Sicherheit, Web/Internet
Stichworte: , ,