[Viren/Trojaner] Sie haben eine Grusskarte bekommen

[Brummelchen]

Sie haben eine Grusskarte bekommen

Trudelt massenhaft bei mir ein im Spamordner. Gestern hatte ich allerdings das Glück,
eine im Mailer zu haben.

Mit dem richtigen Browser passiert da nichts, wenn man auf den Link klickt,
ausser man wird weitergeleitet und um etwas gebeten:

Diese Exe aber ist kein Flashinstaller, sondern ein
Trojaner, bei 14kb auch nicht weiter wunderlich.

Klickt man den Link nochmal an, öffnet sich diesmal jedoch keine Weiterleitung, sondern
ein lustiges Massage-Flash. Das Flash sieht nach genauerer Betrachtung im Flash-Analysator
sauber aus, aber speichern und weitergeben würde ich es trotzdem nicht.

Aus Neugierde habe ich nun etwas mit NOD gespielt und herausgefunden, welche
Einstellung wichtig ist, um solche Trojaner zu erkennen, denn der geht durch eine
normale Prüfung durch. Man muss dazu die "Advanced Heuristik" anschalten.
Das geht zwar etwas in die Performance, aber beim Thema Sicherheit gibt es keine
andere Alternative!

 

[comtech]

Hehe....... ich hoffe mal du benutzt für solche aktivitäten einen Testrechner.

 

[Brummelchen]

Nö, die Testumgebung ist wichtig
NOD filtert so ziemlich jeden unmöglichen Müll und Browser ist Firefox.
Mit dem IE hätte ich schon öfters Pech gehabt, bin ich ziemlich sicher.

Ich hatte erst an einen Phishing-Link gedacht, aber in der Quellcode-Anzeige
der Mail war nichts zu erkennen und bin dann neugierigerweise mal hin.
Und wie gesagt, mit Firefox passiert da nichts, zumal der auch noch gefilterten
Inhalt bekommt, das geht durch drei Filter (Outpost, Proxo, NOD).
Da meiste erledigt Proxo und was dann auf Platte landet, hat NOD die Kralle drauf.

Stutzig machte mich halt der Text - weil ich Flash schon funktional installiert habe
Ich habe den Test mit zwei Browsern (Firefox 1/2) getestet - beim ersten Mal kam
immer die Umleitung auf den Trojaner, beim 2. Mal das Flash. Cookies durften keine
gesetzt werden. Der Inhalt aber kam IMO jedesmal von "femhome", und das ist wieder
wunderlich, weil die Adresse oben im Bild eine ganz andere ist.

Im Prinzip müsste man eine neuartigen Filter schreiben, der jegliche ungenehmigte
Fremdinhalte rausfiltert. Mein Sigpic zB ist Fremdinhalt, wird auf Freenet gehostet,
aber hier eingeblendet. Man stelle sich dort was anderes vor, was Schaden anrichtet.
Ok, krasses Beispiel, man müsste eigentlich nur Java, JS, Flash und ActiveX rausfiltern,
welches von Fremdanbietern kommt (extern liegt).

Fazit - die Seite oben wandert in die HOSTS bzw Sperrliste.
--> greeting-ecards.org (und die COM gleich mit)
127.0.0.1 greeting-ecards.org
127.0.0.1 greeting-ecards.com