Regierungs-Domains von Adware-Trojaner infiltriert

Üblicherweise wird den Webangeboten dieser offiziellen URLs der US-amerikanischen Regierungsorgane von der Öffentlichkeit und Bildungseinrichtungen großes Vertrauen entgegengebracht. Jedoch werden auch diese Domains jetzt von Trojanern bedroht.

Eine einfache Google-Suche führt zum Beispiel zu einer .EDU-Domain, die scheinbar pornographische Inhalte hostet. Dabei ist diese Domain in Wirklichkeit nur mit sexuell orientierten Suchwörtern gespickt, so dass Suchmaschinen sie auf entsprechende Anfragen listen. Klickt der Nutzer den Link zu der .EDU-Site an, wird er nicht auf den eigentlichen Inhalt geleitet, sondern auf eine Porno-Seite, welche entsprechende Videos anpreist.

Und hier schlägt der ZLOB-Trojaner zu, denn um das Video abzuspielen, muss erst ein angeblich fehlender Codec heruntergeladen werden, der dann unbemerkt den Trojaner installiert.

Der ZLOB ist ein Hintertür-Trojaner, der verschiedene Dateien in den Systemordnern ablegt, andere Malware nachladen kann und verschiedene Veränderungen in der Registry vornimmt.

Auch ohne manuellen Download kann sich der ZLOB-Trojaner mittlerweile verbreiten. Frank Kölmel, Sales Director bei Secure Computing schildert: “Unser Technology Lab ist bei einer Reihe von ZLOB-verseuchten Webseiten auf verschleierten JavaScript Code gestoßen. Dieser generiert ein verstecktes IFrame, das eine Verbindung zu einer Seite, die unter anderem einen MDAC Exploit nutzt, herstellt. Surfer im Internet müssen also nicht mehr manuell das Downloaden eines Files erlauben, um sich das aggressive ZLOB einzufangen.”

Eine Drive-by-Download Datei ist als ‘calc.exe’ getarnt. Es speichert sich auf ungepatchte Rechner als “C:sys.exe” und installiert den ZLOB-Trojaner.