[purple_rose]

SICHER o INFORMIERT
Extraausgabe vom 25.03.2009

Webseiten mit gefaelschten Reuters-Meldungen verbreiten Schadsoftware



Ein Botnetz namens "Waledac" verbreitet derzeit massiv mehrere Varianten von englischsprachigen Spam-Nachrichten, in denen Bezug auf ein vermeintliches Bombenattentat genommen wird. Die Betreffzeilen lauten z. B. "I hope you are ok" oder "At least 18 killed in your city".
Neben einer kurzen Schlagzeile ist im Inhalt der E-Mail auch ein Link angegeben.

Klickt der Empfaenger der E-Mail auf den Link, gelangt er auf die Webseite einer gefaelschten Reuters-Pressemeldung. Bezeichnend ist dabei, dass die gefaelschte Pressemeldung Geoinformationen der IP-Adresse des Opfers nutzt, um die Schlagzeile der Meldung mit lokalem Bezug zu generieren. Ein Berliner Anwender erhaelt z. B. eine Schlagzeile wie "Powerful explosion burst in Berlin this morning".

Die Schadsoftware mit variablem Dateinamen ist ueber die Grafik eines vermeintlichen Flash-Video-Abspielers verlinkt, die sich auf der gefaelschten Pressemeldungsseite befindet. Mit der darunter stehenden Aufforderung "Click here" soll der Nutzer zum Download der Schadsoftware verleitet werden. Die Erkennungsrate der aktuellen Schadsoftware-Versionen ist bei den gaengigen Antivirus-Anwendungen noch sehr niedrig.

Empfaenger dieser Spam-Nachrichten sollten die E-Mails umgehend loeschen und die Links nicht aufrufen.


-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

[purple_rose]

Im McAfee Research Blog gibt es ein wenig mehr Informationen dazu.