Sonntag , 18 Februar 2018

Achtung: Trojaner wirbt mit Überraschung auf Facebook

Haben Sie jemals Nachrichten von Ihren Facebook Freunden bekommen samt Hinweise oder Einladung, eine bestimmte Seite zu besuchen? Noch dazu in Verbindung mit einer neugierig machenden Nachricht wie „Hey watch this, so cool!“ („Hey, schau dir das an, ist echt cool!“)? Im Normalfall würden Sie nicht lange zögern und der Einladung folgen, vor allem wenn die Nachricht von einem wirklich guten und vertrauenswürdigen Freund kommt. Aber würden Sie jemals daran denken, dass die Nachricht von einem Eindringling, Spam oder auch Virus stammen könnte?

So vor kurzem geschehen: Ein Bekannter von uns hat eine „surprise“, also Überraschung, von Facebook erhalten, aber dann sehr schnell erfahren müssen, dass sein Computer auf diesem Wege mit einem Trojaner infiziert wurde, der den Computer auch gleich eifrig als Spamversender nutzte.

image-4679

Wie Sie sehen können, war die Webseite natürlich nicht die Originale von Facebook, sondern „hxxp://facebook-surprise-kjeg.tk/“. Durch Social Engineering Techniken versucht der Ersteller bewusst, die Seite wie das Original aussehen zu lassen – logisch, der Besucher soll ja das trügerische Gefühl der Sicherheit verspüren.

Wenn man nun mit der Maus über diese Seite geht, sieht man, dass sich dahinter ein Link auf die Datei „suprise.exe“ (hxxp://facebook-surprise-kjeg.tk/surprise.exe) verbirgt. Die Datei selber ist mit einem Icon versehen, das dem typischen Icon einer Bilddatei gleicht:

Einmal ausgeführt, wird nur ein „gift“ (Geschenk) Bild wie dieses angezeigt:

Aber natürlich ist das nicht alles, denn im Hintergrund infiziert ein Trojaner den Computer.

Gehen wir zurück zum Ursprung: Offensichtlich liegt dieser in einer Nachricht, die er auf seinem Facebook Konto erhalten hat. Diese Nachrichten sehen so aus: „I got u surprise www.nyhelyofedoerej.blogspot.com.“

Wenn der Link angeklickt wird, führt dieser zu einem Blogspot Account, von dem aus wiederum auf hxxp://facebook-surprise-kjeg.tk/ weitergeleitet wird.

image-4680

Nach Ausführung der Datei „surprise.exe“ werden alle Aktivitäten des Nutzers überwacht, indem der genutzte Browser, also beispielsweise der Internet Explorer oder Mozilla Firefox, infiltriert wird. Wenn sich das Opfer nun mit seinem Facebook Konto einloggen will, zeichnet die Malware Benutzername und Passwort auf. So kann jeder virtuelle Freund mit der altbekannten Nachricht zugespammt werden. Ein Blick auf den „Gesendet“ Ordner zeigt das Ergebnis.

image-4681

Interessanterweise erzählt der Autor des Schädlings uns, was er hinter den Kulissen getan hat (oder hat er etwa vergessen, den Debug String zu entfernen?). Diese Nachricht erscheint, wenn der Debugger gestartet wird – wir erhalten das folgende Log, wenn die Malware versucht, sich in das Facebook Konto einzuloggen:

image-4682

Und das folgende, wenn der Trojaner seine Nachricht an alle Freunde des Kontobesitzers versendet hat:

image-4683

Direkt vor dem Spamversand wird noch ein sogenannter „GET request“ auf die Adresse „ddk1000.org/ab/setup.php?act=fb_get“ ausgeführt, um die für die Nachricht erforderlichen Daten wie Betreff, Text und die bösartige URL anzufordern.

Erkennung und Entfernung

Emsisoft Anti-Malware und Online Armor ++ z.B. blockieren den Trojaner automatisch, wenn Sie die Datei herunterladen oder ausführen.
Emsisoft Anti-Malware erkennt diese Malware als:
Trojan-Downloader.Win32.FraudLoad

Seien Sie bei allem, was Ihnen gesendet wird, immer vorsichtig. Freunden zu vertrauen reicht heutzutage nicht mehr aus.

Christian Mairoll
Christian Mairoll ist Gründer und Geschäftsführer von Emsisoft, einem österreichischen Virenschutz Newcomer-Unternehmen mit international verteiltem Team. Die Hauptprodukte der 'virtuellen Firma' sind Emsisoft Anti-Malware und die Online Armor Firewall. Aktuelle Virenwarnungen finden sich in den Facebook und Twitter Profilen.
Christian Mairoll
Christian Mairoll

6 Kommentare

  1. Ich persönlich finde es immer wieder erstaunlich, dass viele Benutzer keine ordentliche Internet-Security-Suite oder zumindest einen ordentlichen Virenscanner im Einsatz haben. Diese schützen im Normalfall direkt beim Zugriff auf eine entsprechende Datei, weswegen man entsprechende Probleme gar nicht erst bekommt. Aber augenscheinlich gibt es genug, die sich ohne Virenscanner, oder durch freie Scanner mit langsameren Updates selbst gefährden…

  2. Die oben genannten Programme lassen sich nicht installieren, wenn der Computer bereits mit dem Trojaner befallen ist. Wie kann man den Computer wieder säubern, wenn er bereits befallen ist? Ich brauche Hilfe!!!!

  3. @Frank
    Deinstalliere mal deinen Virenscanner und lade dir eine kostenlose Test-Version von Kaspersky runter. Diese sollte sich im Normalfall installieren lassen, und deinen PC anschließend bereinigen. Sollte das nicht hinhauen empfiehlt sich platt machen und neu installieren. Manche Eindringlinge kriegt man nicht mehr runter.

  4. Von Emsisoft gibt es auch einen portablen Scanner zum Säubern, der keine Installation benötigt: Emsisoft Emergency Kit
    http://www.emsisoft.de/de/software/eek/

    Am besten auf einen USB-Stick entpacken und den infizierten Rechner damit säubern.