Sonntag , 18 Februar 2018

Achtung! Diese Malware blockiert Ihr Facebook

Die Malware-Attacken auf Facebook User gehen in die nächste Runde. Diesesmal verbreitet sich ein Schädling über Facebook Chat Nachrichten, die gefährliche Links von Freunden enthalten.

So eine Nachricht sieht folgendermaßen aus:

hahahh Foto 😀 hxxp://apps.facebook.com/glombotke/photo.php?=1012323960

image-4763

Der Link verweist auf die gefährliche Facebook Anwendung.

Mittels Social Engineering Techniken versucht der Malware-Autor die User mit einem Fake-Screen zum Klicken zu bewegen. Inhalt: „Photo has been Moved.„.

image-4764

Wenn er dann auf „View Photo“ klickt, startet der Download der Malware-Datei.

image-4765

Sobald die Datei dann gestartet wird, öffnet sich entweder ein Fenster mit einer MySpace-Seite (http://www.myspace.com/browse/people) oder Google. Im Hintergrund beginnt der Schädling mit seinen Routinen und verschickt weitere Nachrichten an die Freunde-Liste.

Beim nächsten Anmeldeversuch des Users blockiert die Malware die Loginseite und zeigt stattdessen eine „scam survey“ Nachricht mit dem Link „Win an Apple product„. Klickt man auf diesen Link, landet man auf einer Seite mit Werbung oderAffiliate-Links.

image-4766

image-4767

Eine weitere Variante der Malware leitet zu einer anderen scam survey Seite, die eine Geburtstagsmeldung anzeigt, sobald der User Facebook öffnet:

image-4768

image-4769

Beide Varianten haben gemeinsam, dass eine „suspended“ Meldung erscheint, sobald der User erneut zur Login-Seite zurückgeht:

Your Account as been suspended!
The suspend will be released after 80 minutes
The suspend will be disabled only if you fill out one survey!
Please wait 80 minutes and tray again.

In Wirklichkeit wurder der Account aber nicht suspended, es handelt sich nur um eine Fake-Meldung die von der Malware generiert wird.

image-4770

Emsisoft Anti-Malware erkennt die Malware als Worm.Win32.Yimfoca!A2 oder Trojan.Win32.Scar!IK. Die Virus Total Ergebnisse deuten derzeit noch auf eine schlechte Erkennung hin. Nur 13 von 42 Antiviren-Produkten melden Funde. Bei der zweiten Variante sind es gar nur 3 Scanner, die den Schädling bereits erkennen.

image-4771

Tipp: Besuchen Sie unsere Emsisoft Facebook Seite, wo Sie ab sofort auch suspekte Dateien uploaden und in Echtzeit scannen können.

Christian Mairoll
Christian Mairoll ist Gründer und Geschäftsführer von Emsisoft, einem österreichischen Virenschutz Newcomer-Unternehmen mit international verteiltem Team. Die Hauptprodukte der 'virtuellen Firma' sind Emsisoft Anti-Malware und die Online Armor Firewall. Aktuelle Virenwarnungen finden sich in den Facebook und Twitter Profilen.
Christian Mairoll
Christian Mairoll

7 Kommentare

  1. Und wie bekomme ich das hin dass es nicht mehr blockiert ist????

  2. Kann mir des irgendjemand sagen oder erklären??? mich nervt des nämlich tierisch dass diese Meldung ständig erscheint und alles blockiert…

  3. Downloade und installiere dir Emsisoft Anti-Malware: http://www.emsisoft.de/de/software/antimalware/

    Scanne damit den ganzen Rechner und lösch die Malware. Danach kannst du wieder normal bei Facebook einloggen.

    Nicht vergessen: Nur ein permanenter Malware-Wächter hält den PC frei von künftigen Attacken. Ein Scan allein reicht nicht.

  4. vielen vielen dank :-*

  5. Wenn man Safari benutzt is es nicht blockiert, aber es nervt schon sau, weil man dort Facebook nicht als Startseite machen kann.
    Aber wie krieg ich das wieder weg, ohne irgend ein teures Programm herunterzuladen?

  6. Die Nachricht hatte ich auch mal bekommen, aber zum Glück wusste ich von dem Virus schon vorher Bescheid!

    Vor ein paar Wochen hat jemand von meinen Freunden ein Virus abbekommen, das hat daraufhin ein verdächtiges Youtube-Video auf meine Pinnwand gepostet.
    Wenn mich jemand vorher nicht gewarnt hätte, hätte ich glatt draufgeklickt!

  7. Naja ich nutze Trend Micro Security als Antivirus Software und so was wir von vorn herein geblockt.