Die Rückkehr des Phisher-Worms

05.04.2007
In der März-Ausgabe des Malware-Reports von Fortinet taucht ein alter Bekannnter wieder auf: der "MySpace Phisher Worms".
So sieht die Phishing-Website aus, auf die einige MySpace-Nutzer reingefallen sind. Man beachte die URL!
So sieht die Phishing-Website aus, auf die einige MySpace-Nutzer reingefallen sind. Man beachte die URL!
Foto:

In der März-Ausgabe des Malware-Reports von Fortinet taucht ein alter Bekannnter wieder auf: der "MySpace Phisher Worm". Zum ersten Mal erschienen ist dieser Wurm im November 2006. Damals hatte er sich über so genannte Social Networks weit verbreitet - über gefälschte MySpace Login-Seiten.

Diese Phishing-Website stahl vertrauliche Login-Daten. Ein serverseitig installiertes Programm verteilte daraufhin die eigene URL an sämtliche Kontakte des "gephishten" Nutzers.

Die neueste Variante des Phishingwurms wurde mit hoher Wahrscheinlichkeit mittels einer bereits vorhandenen Datenbank verbreitet. Die scheinbar sicheren MySpace.com-Profile wurden mit einem transparenten, anklickbarem Bild überlagert, welches die Besucher auf eine Phishing-Seite lotst. Nachdem der User dort seine vertraulichen Daten eingegeben hat, injiziert das auf dem Server der Hacker befindliche Programm bösartigen Code in das Profil der Nutzer. Dieser trägt dann mit dem bereits erwähnten transparenten Bild zur Weiterberbreitung des Wurms bei.

"MySpace.com gestattet seinen Nutzern, in verschiedenen Teilen der Profil-Seiten HTML einzubetten. Das ist ein beliebtes Feature von Web 2.0, aber eben leider auch eine hervorragende Brutstätte für Bedrohungen wie den Phisher Worm". erklärt Guillaume Lovet, Teamleiter Threat Research bei Fortinet. "Dieser spezielle MySpace.com Phisher Worm erinnert er uns nachdrücklich daran, dass auch innerhalb der populären Web 2.0-Communities Gefahren lauern, die darauf abzielen, Unternehmensdaten, Finanzinformationen, und sogar medizinische Befunde oder andere persönliche Daten zu stehlen."

Die Top Ten-Bedrohungen im März 2007 lauten wie folgt:
1. W32/Netsky.P@mm Mass mailer 4,62 Prozent
2. W32/Bagle.DY@mm Mass mailer 4,44 Prozent
3. HTML/Iframe_CID!exploit Exploit 3.93 Prozent
4. W32/Grew.A!worm Worm 2,87 Prozent
5. W32/Bagle.GT@mm Mass mailer 2,47 Prozent
6. HTML/BankFraud.BGU!phish Phish 2,23 Prozent
7. W32/Sality.Q Virus 1,93 Prozent
8. W32/Istbar.PK!tr.dldr Downloader 1,63 Prozent
9. W32/Everda!tr Rootkit 1,56 Prozent
10. Adware/Solutions180 Adware 1,31 Prozent

In der Top Ten vom März finden sich neben einem umfassenden Phishing-Anschlag auf ein Kreditinstitut, die Rückkehr der "180Solutions"-Adware und - ein eher ungewöhnlicher Neuzugang im Ranking - "Everda". Dieses Rootkit versteckt Datei- und Registry-Informationen, indem es sich in der System Service Descriptor Tabelle des Kernels einhängt. Wie bei jeder aufkommenden Rootkit-Technologie kann Everda Probleme mit hostbasierter Antivirus- oder Antispyware-Software verursachen, da installierte Rootkits nur schwer zu entdecken sind. (rw)

Zur Startseite