"Slobodan Milosevic was killed"
Neue, alte Tricks
Die Liste der Persönlichkeiten, deren Namen zu Zwecken der Schadprogrammverbreitung missbraucht wurden, ist lang. Ex-US-Präsident Ronald Reagan und die ehemalige britische Premierministerin Margaret Thatcher gehören ebenso dazu wie Saddam Hussein, Bill Clinton, George W. Bush, Arnold Schwarzenegger, Bill Gates oder Pieter Willem Botha. Die Wurm- und Virenschreiberszene hofft, mit der Ankündigung, im Mailanhang befänden sich vertrauliche oder sensationslüsterne Informationen über diese Personen, die Mailempfänger zum Anklicken des Anhangs zu bewegen – nicht selten mit Erfolg.
Nach dem Klick ist es zu spät
„Hacker nutzen die morbide Neugier der Nutzer und ihren Hunger nach Sensationsnachrichten aus, um sie hereinzulegen und ihre Rechner zu infizieren“, erklärt Sophos-Sicherheitsexperte Graham Cluley. Trotz aller Warnungen, die von allen Medien immer wieder verbreitet werden, finden sich meist doch genügend Zeitgenossen, die ihre Neugier nicht im Zaum halten können. Nach dem verhängnisvollen Klick ist es zu spät: Das Schadprogramm ist installiert und wartet meist auf weitere Befehle.
Troj/Dropper-FB
Im Fall der „Milosevic was killed“-Mail wird im Rechner des Anwenders ein Trojanisches Pferd installiert. Sein Name lautet bei Sophos „Troj/Dropper-FB“. Das Schadprogramm schaltet installierte Antivirenscanner aus und hat die Aufgabe, auf das Internet zuzugreifen, um Kontakt mit seinem Verbreiter aufzunehmen. Außerdem ist der Schädling in der Lage, weitere Schadmodule nachzuladen. Sobald Troj/Dropper-FB installiert ist, erstellt er die Datei systdl.exe, die im Windows-Systemverzeichnis abgelegt wird. Die Datei systdl.exe wird von gängiger Antivirensoftware als Troj/Dloadr-ADV erkannt.
Bildschirmschoner mit Nebenwirkungen
Das Schadprogramm im Anhang der verseuchten Email tarnt sich als Bildschirmschoner mit dem Namen picture.scr. Er soll, so steht es im Nachrichtentext der Mail, Fotos enthalten, die den gewaltsamen Tod des jugoslawischen Ex-Präsidenten, der kürzlich in einer Gefängniszelle in den Niederlanden gestorben ist, belegen sollen. Daneben enthält der Nachrichtentext die Mitteilung, dass die Mail auf Viren geprüft worden und frei von Schadprogrammen sei. Benutzt wurde angeblich der Antivirenscanner der russischen Firma Kaspersky Lab.
Unauffällig, aber gefährlich
Über die Verbreitungsgeschwindigkeit des neuen Schadprogramms machen die Spezialisten der britischen Antivirenfirma keine Angaben. Es ist allerdings davon auszugehen, dass der Trojaner derzeit noch nicht viele Rechner infiziert hat. Solche Schadprogramme, die nur langsam in Schwung kommen, sind dennoch in der Regel weit gefährlicher, als man vermuten könnte. Sie verbreiten sich zwar möglicherweise weniger schnell als manche ihrer Artgenossen, die als Spam in riesigen Stückzahlen gleichzeitig ins Internet gepustet werden und deshalb sowohl bei den Antivirenfirmen als auch in den Medien entsprechend mehr Aufmerksamkeit erhalten. Doch gerade die Tatsache, dass sich Schadprogramme wie Dropper-FB eher unauffällig verhalten und sich langsam, dafür aber stetig ausbreiten, macht sie so brandgefährlich.
Zurück zur News-Übersicht