Japan Katastrophen-Spam: Mehr Malware

Die durch das Erdbeben und den Tsunami verursachte Krise in Japan ist noch lange nicht überstanden – daher müssen wir auch weiterhin mit immer neuen Cyberbedrohungen rechnen, die versuchen, sich eben diese Krise zunutze zu machen.

Zehntausende Japaner haben ihr Zuhause verloren, viele auch geliebte Menschen. Obendrein ist das Land von einer atomaren Katastrophe bedroht, während immer neue Nachbeben die Menschen fast täglich an die gewaltigen Kräfte der Natur gemahnen. (Während ich diesen Blog schreibe, wird die Nachricht von einem Beben der Stärke 6,2 veröffentlicht!).

Am Freitag haben wir eine weiter schädliche Website entdeckt. Sie enthält die in Portugiesisch abgefasst Mitteilung: „Novo tsunami atinge a região de Sendai e Japão declara estado de emegência em usina nuclear“, was grob übersetzt in etwa bedeutet „Ein neuer Tsunami erreicht das Gebiet von Sendai, Japan ruft Katastrophenzustand am Atomkraftwerk aus „.

Ein Klick auf den Inhalt der Page führt zum Download einer ausführbaren Datei, die wir als „Trojan-Downloader.Win32.AutoIt.po“ detektieren.
Bei Ausführung werden drei weitere Binärdateien von einer kompromittierten Website in Brasilien heruntergeladen.

Nach erfolgreicher Ausführung versucht der Computer sich mit verschiedenen Orten zu verbinden, von denen manche als „wab.php“ und „contador.php“ bezeichnet werden. Aktuell können wir bestätigen, dass diese Aktivität auch in Zugriff auf ‚www.visa.com.br‘ und einen anderen Ort resultiert, wobei ‘404’-Errors erzeugt werden, da die Dateien auf einer weiteren kompromittierten Website gehostet wurden, die anscheinend bereits von dem Eindringling befreit wurde.

Unser Incident Research and Response Team hat selbstverständlich versucht, die Inhaber/Internetprovider der kompromittierten Seiten zu kontaktieren, um sie auf diesen Vorfall aufmerksam zu machen. Bisher haben wir nur eine Antwort als Reaktion auf unsere E-Mail an abuse@ erhalten, aber die ist nicht von großem Nutzen:

Sie scheinen dort andere Probleme zu haben, und wir wissen derzeit nicht, ob unsere Alarmmeldung irgendjemanden erreicht hat. Wie auch immer – die Anwender von Kasperky Lab-Produkten sind vor dieser Bedrohung geschützt, da unsere Lösungen aktuell alle Teile der Attacke detektieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.