Social Engineering funktioniert zuverlässig gut: Soooooo niedliche Kätzchen, die können doch nicht böse sein!!!
Tja, falsch gedacht: Hinter den "netten" Grußkarten-Mails, die zur Zeit unverlangt ankommen, stecken Links auf infizierte bzw. bösartige Webseiten. Wie pc-welt.de meldet, lauten die Betreffs etwa "Here's your ecard!", "Your ecard is waiting!", "Your ecard greeting is available."; der Text "This Psycho Cat Card has been sent to you." Da sie die Motive von regulären Grußkarten-Webseiten kopiert hätten, wirkten die Mails besonders authentisch.
pc-welt.de weiter: "Der enthaltene Link zeigt wie üblich auf eine IP-Adresse. Die recht kurzlebigen Mini-Web-Server auf den Zombie-PCs des Botnets liefern eine Seite mit einer Flash-Animation aus, die eine kichernde Katze zeigt. Diese Flash-Datei haben die Botnet-Betreiber von der echten Grußkarten-Website "SuperLaugh.com" kopiert. Die Web-Seiten enthalten mehrfach verschleierten Javascript-Code, der Sicherheitslücken im Browser ausnutzen soll, um Malware einzuschleusen. Außerdem wird eine Datei namens "superlaugh.exe" zum Download angeboten, die denRechner zu einem Teil des Sturm-Wurm-Botnets macht, falls sie ausgeführt wird. Unter der Motorhaube habe die Malware-Programmierer einige Veränderungen eingeführt. Wie Rachit Mathur von McAfee im Blog der AVERT Labs berichtet, haben sie die Dateinamen geändert, mit denen sich die Botnet-Malware im System einnistet. Bislang hießen die Dateien "spooldr.exe", "spooldr.sys", und "spooldr.ini". Anfang dieses Jahres hatte es noch mit "wincom32.sys" und "game0.exe" begonnen. Neuere Exemplare der Sturm-Malware verwenden nun die Dateinamen "noskrnl.exe", "noskrnl.sys" und "noskrnl.config". Dadurch besteht für diejenigen, die sich selbst auf die Jagd nach verdächtigen Dateien auf ihrem Rechner machen, die Gefahr einer Verwechslung mit der wichtigen Systemdatei "ntoskrnl.exe". Neu ist außerdem, dass der Schädling versucht, sich auf Disketten zu kopieren."
Also wieder einmal: Vorsicht mit unerwarteten, merkwürdigen E-Mails!
Tips vom SANS Internet Storm Center:
Niemals von den folgenden Regeln abweichen:
- Nie auf unverlangte E-Mails antworten, egal, wie vertrauenswürdig sie aussehen.
- Nie auf irgendwelche angebene URL klicken oder eine vorgeschlagene Telefonnummer wählen.
- Wenn man annimmt, dass eine unverlangte E-Mail authentisch ist, dann sollte man die Organisation über eine VORHER feststehende Adresse kontaktieren, etwa von einer Rechnung oder ihrer VORHER in Favoriten eingetragenen Webseite.
Quellen:
- pc-welt.de
- isc.sans.org