Suchen

Neuer Trojaner in angeblicher Facebook-E-Mail

28.10.2009 – 11:07 – Yacine Gasmi

Gefälschte Facebook-E-Mails machen derzeit die Runde. In ihnen wird die Zusendung eines neuen Passwortes für das soziale Netzwerk vorgegaukelt. Statt des Passwortes enthält der Anhang aber ein Schadprogramm.

Wie das Sicherheitsunternehmen MX Labs gestern meldete, gibt sich der Absender der E-Mail als „Facebook Team“ aus. Als Absenderadresse wird „service@facebook.com“ angezeigt. In Wirklichkeit sind die angezeigten Absenderangaben aber gefälscht.

In der auf englisch geschriebenen E-Mail mit dem Betreff „Facebook Password Reset Confirmation“ wird behauptet, das Facebook-Passwort des Nutzers sei zurückgesetzt worden. Das neue Passwort werde im Anhang mitgeliefert. Statt eines neuen Passwortes enthält der Anhang aber eine neue Version des Trojaners Bredolab.

Der Anhang der E-Mail besteht aus der Datei „Facebook_Password_4cf91.zip“, die wiederum die Datei „Facebook_Password_4cf91.exe“ enthält. Laut Angaben von MX Labs wird der Namensteil zwischen dem zweiten Unterstrich und der Dateitypkennzeichnung „.zip“ (hier „4cf91“) zufällig gewählt und variiert dadurch bei unterschiedlichen Empfängern.

Lädt der Nutzer den Anhang herunter und führt die Datei aus, so installiert sich das Schadprogramm auf dem Computer des Nutzers. Einmal installiert, lädt der Trojaner weitere Programme aus dem Internet und führt diese auf dem Computer des Nutzers aus. Zudem ist Bredolab in der Lage, verschiedene Abwehrmechanismen auf dem Computer des Nutzers auszutricksen. Beispielsweise fügt er bösartigen Programmcode in legitime Systemprozesse svchost.exe und explorer.exe ein, um Firewalls zu umgehen. Außerdem erstellt er die Dateien wiaservg.log, wpv861256600826.exe und isqsys32.exe.

Wie das Sicherheitsunternehmen M86 Security meldet, lädt der Trojaner außerdem den Bot Pushdo herunter, der dann seinerseits für den Versand weiterer SPAM-E-Mails im Namen von Facebook sorgt.

Nach Angaben des Online-Maganzins CNET.com hat sich Facebook bereits von den E-Mails distanziert und betont, dass das Unternehmen niemals ein neues Passwort im Anhang einer E-Mail an seine Nutzer senden würde. Auf den Sicherheitsseiten zu Facebook finden Nutzer außerdem Hinweise, wie sie derartige Bedrohungen erkennen und darauf reagieren können.

Nutzer, die sich den Trojaner bereits versehentlich installiert haben, können ihn laut CNET.com mit aktueller Antiviren-Software wieder entfernen lassen.

Artikel

E-Mail? - Aber sicher!

Überblick über Viren, Würmer oder auch Spam und andere E-Mail Schädlinge.

Hintertüren schließen - Betriebssysteme absichern

Wie Sie Ihren Computer gegen Schadprogramme und andere Gefahren absichern können

Ein Immunsystem für den Computer

Antiviren-Software bietet Schutz vor Computer-Parasiten.

Externes

CNet: Fake Facebook e-mail contains Trojan

Meldung zu den gefälschten Facebook-E-Mails mit einer neuen Version des Trojaners Bredolab. Enthält die wesentlichen Angaben aus der MX-Lab-Meldung sowie eine kurze Aussage von Facebook (englisch, 27.10.2009).

MX Lab: Bredolab masked as Facebook Password Reset Confirmation

Blog-Eintrag zum Erscheinen einer neuen Version des Trojaners Bredolab in gefälschten Facebook-E-Mails. Enthält Details über die Fähigkeiten und das Vorgehen des Trojaners (englisch, 27.10.2009).

M86 Security: Beware New Pushdo Campaigns

Meldung über zwei neue SPAM-Angirffe durch das Pushdo-Botnetz, darunter gefälschte Facebook-E-Mails mit einer Variante des Bredolab-Trojaners (englisch, 27.10.2009).

Facebook: Facebook Security

Seiten mit Sicherheitshinweisen und Tipps für Facebook-Nutzer (englisch, 28.10.2009).

Datenschutzhinweis | Impressum | Kontakt

Benutzeranmeldung

Suchen

Neuer Trojaner in angeblicher Facebook-E-Mail

Tags

Artikel

Externes

Zurück

Unsere Themen

Archive

Projektkontext