Trojan.FakeAV.LVT: Trojaner verbreitet sich über Facebook und Youtube [Quelle: siehe Bildergalerie]
Über ein Video, das den Namen des Users im Titel trägt und ihn angeblich zeigt, attackiert der Schädling den Rechner als getarntes Flash Player-Update. Sobald das System infiziert ist, imitiert der E-Threat eine Fehlermeldung der vorhandenen Security-Software und deaktiviert diese unbemerkt im Hintergrund. Dementsprechend vorsichtig sollten Facebook- und Youtube-Nutzer sein.
Im Falle dieses Trojaners erhält das Facebook-Mitglied einen Link von einem Bekannten, der zu einem Video führt, in dem der angeschriebene User angeblich auftritt. Klickt der Nutzer die URL an, wird er auf das Videoportal Youtube weitergeleitet und sieht zunächst den Titel des Clips, der seinen vollständigen Namen enthält. Außerdem sind gefakte Kommentare von Facebook-Freunden zum Video aufgeführt. Um die Aufzeichnung sehen zu können, muss der User ein Update seines Flash Player durchführen - und lädt sich damit den Trojaner auf seinen Rechner.
Nach dem Download schaltet der Trojaner sämtliche vorhandenen Antivirus-Programme ab. Dabei geht er besonders listig vor. Denn der Threat erkennt die eingesetzte Sicherheitssoftware und imitiert daraufhin eine gefälschte Informationsmeldung im Design des Programms mitsamt der verwendeten Spracheinstellung. In dem Info-Pop-Up wird der User dazu aufgefordert, seinen Rechner neu zu starten, damit das Programm angebliche Desinfizierungen vornehmen kann. Danach startet das System automatisch im gesicherten Modus, da der Schädling die Boot Configuration Data (BCD)-Dateien infiltriert und nach seinen Zwecken manipuliert.
Zusätzlich erstellt der Schädling einen Registrierungsschlüssel in "%SYSTEM%" und fügt sich entweder eigenständig als erlaubte Applikation in den Windows Firewall-Regeln hinzu oder deaktiviert gleich die komplette Firewall. Des Weiteren schaltet Trojan.FakeAV.LVT die Benachrichtigungsfunktion der Firewall sowie die Systemupdates ab. Nicht zuletzt bringt der Übeltäter noch eine Download-Komponente mit sich, die in Abhängigkeit vom Betriebssystem Dateien von verschiedenen URLs abruft. Diese enthalten eine Liste verseuchter IP-Adressen, die unter %windir%\front_ip_list.txt abgespeichert werden. Zwischen dem Rechner und den anderen kompromittierten Systemen erfolgt daraufhin ein permanenter Austausch von Schadsoftware.
Alle Infos zum
Firefox, dem Internetbrowser von Mozilla, finden Sie auf der Themenwebseite. Auch zum
Internet Explorer, dem Internetbrowser von Microsoft, finden Sie alles auf der Themenwebseite. Wenn Sie sich für
Chrome, den Internetbrowser von Google interessieren, sollten Sie die passende Specialseiten anrufen. News, Tests, Downloads und Wissen zu Themen wie
Internet-Browser, Suchmaschinen und soziale Netzwerke finden Sie auf der Internet-Übersichtsseite von PC Games Hardware Online.
Moderator
29.07.2011 06:57
Ich frag mich, da ich nur aus der VM surfe, ob er da was ausrichten kann.
Das System ist ja bei jeden Start junfräulich.
Mal abgesehen davon muss man den ja wie die meisten Trojaner selber installieren.
Es ist unwahrscheinlich, aber möglich. Es gibt meines Wissens bereits Rootkits, die aus einer VM heraus ein Hostsystem infizieren können. Sowas ist aber noch relativ selten (zum Glück).
MfG Jimini
Komplett-PC-Käufer
29.07.2011 05:42
Ich frag mich, da ich nur aus der VM surfe, ob er da was ausrichten kann.
Das System ist ja bei jeden Start junfräulich.
Mal abgesehen davon muss man den ja wie die meisten Trojaner selber installieren.
Wenn deine VM mit deinem HOST über ein virtuelles Netzwerk verbunden ist, kann sich entsprechend konfigurierte Software über eben dieses Netzwerk ausbreiten. Aber laut der Beschreibung wird ja nur mit speziellen IP Adressen im Internet kommuniziert.
Software-Overclocker
28.07.2011 20:13
Nicht Schlecht.
Da hat sich der Kollege aber richtig Mühe gegeben.