Schädliche Ergänzung zum Facebook-Link

In diesen Tagen konnten wir beobachten, dass über Instant-Messaging-Services eine Spam-Versendung umgesetzt wurde, die schädliche Links enthält. Wie sich herausstellte, war der IM-Wurm Zeroll für diese Versendung verantwortlich. Der Bot generierte verschiedene Mitteilung, in Abhängigkeit von der Muttersprache des Empfängers. Hier einige Beispiele:

“Wie findest du das Foto?”
“seen this?? 😀 %s”
“This is the funniest photo ever!”
“bekijk deze foto :D”
“uita-te la aceasta fotografie :D”

Wie auch in vielen ähnlichen Fällen, setzten die Cyberkriminellen auf Social-Engineering-Methoden, und forderten die Empfänger auf, Fotos mit verlockenden Namen anzusehen. Am Ende der Mitteilung befand sich der folgende Link: http://www.facebook.com/l.php?u=********.org/Jenny.jpg.Neben dem Link auf die Datei Jenny.jpg wurde wahlweise ein Link auf Sexy.jpg verschickt.

Die Seite auf die der Link „http://www.facebook.com/l.php?u=“ führt, ist für sich genommen nicht schädlich — sie enthält eine Warnung von Facebook, dass der Anwender im Begriff ist, die Website zu verlassen.


Warnung von Facebook

Wird nach “l.php?u=” ein Link auf eine willkürliche Site ergänzt, so öffnet sich mit einem Klick darauf ein Fenster mit der Facebook-Warnmeldung. Klickt der Anwender daraufhin allerdings auf den Button „Fortsetzen“, so wird er gemäß dem Link auf die entsprechende Seite umgeleitet. Diese Technik setzten die Kriminellen auch ein, indem sie einer schädlichen Ressource einen legitimen Link hinzufügten.

Sobald der Browser zur Seite ********.org/Jenny.jpg wechselt, wird ihm die Datei “PIC1274214241-JPG-www.facebook.com.exe” ausgegben, die vom Anwender ausgeführt werden kann. Unter dem Text, der auf jenny.jpg und sexy.jpg hinweist, verbirgt sich die ausführbare Datei, die im vorhergehenden Satz erwähnt wurde.

Nach einer Analyse von “jenny.jpg” und “sexy.jpg” zeigte sich, dass es sich hierbei um gewöhnliche Downloader handelt, die in Visual Basic programmiert sind und von einem Packer geschützt werden.

Code-Fragment des Downloaders nach dem vollständigen Entpacken der Datei “jenny.jpg”

Die Aufgabe des Downloaders ist für diese Programmart typisch, denn sie besteht im Download eines weiteren Schadprogramms auf den infizierten Computer, und zwar der Datei srce.exe. Damit der Anwender keinen Verdacht schöpft, öffnet der Downloader nach der Installation auf dem Computer die in der Spam-Mail versprochene „interessante“ Fotografie. Das Bild wird aus dem Internet geladen — der Link darauf ist in dem Screenshot zu sehen.
Worum handelt es sich nun bei srce.exe? Es ist ein Dropper + Downloader, dessen äußere Hülle wiederum unter Verwendung von Visual Basic geschrieben wurde. Er lädt den Wurm IM-Worm.Win32.XorBot.a, der den Yahoo Messenger zum Mail-Versand an die Anwender verwendet.

So wird bei dieser Spam-Versendung innerhalb von IM-Mitteilungen kein direkter Link auf ein schädliches Objekt eingesetzt, sondern ein Link, der auf eine Facebook-Seite verweist. Man kann also sagen, dass Facebook in diesem Fall als ein Service wie bit.ly genutzt wird: Er ermöglicht die Erstellung von Links und den Übergang auf diese über die eigene Domain.

Zum gegenwärtigen Zeitpunkt hält die Spam-Attacke von Zeroll an. In den Mitteilungen werden Links auf andere Dateien verschickt – mit nicht weniger „verlockenden“ Namen, wie etwa “Girls.jpg” und “Marisella.jpg”. Und obwohl viele User sehr wohl wissen, dass man keinesfalls unüberlegt auf Links klicken sollte, selbst wenn sie von Leuten aus der eigenen Kontaktliste stammen, werden wir nicht müde, immer wieder eben darauf hinzuweisen. Cyberkriminelle sind einfallsreich – was mit der Spam-Versendung von Zeroll wieder einmal bewiesen wurde.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.