Gefährliche Olympia-News verbirgt Spam

Die Spam-Mails beinhalten Schlagzeilen mit klarem Bezug zu den Spielen, wie “terroristischer Anschlag auf die Olympischen Spiele in Peking aufgedeckt”. Die Nutzer sollen damit auf gecrackte Webserver gelockt werden.

Wie es weiter hieß, werden Videos des Ereignisses versprochen. Die gesendete E-Mail besteht lediglich aus der Schlagzeile und einem eingebundenen Link. Die Betreffzeile wird automatisch von den Tätern per Zufallsgenerator generiert, haben die Experten bislang herausgefunden. Nach Besuch der Webseite wird versucht durch eine Sicherheitslücke den Trojan-Downloader.Win32.Exchanger.hk per Drive-by-Download auf den Rechnern zu installieren. Die Online-Kriminellen haben bei der vorliegenden Attacke parallel zum Spam-Versand weltweit in Blogs Links zu den verseuchten Seiten hinterlegt. Die Schlagzeilen dort sind mit denen der Spam-Mails identisch.

Der Schädling kopiert sich als CbEctSvc.exe in das Windows-Systemverzeichnis. Er trägt sich, wie es hieß, als Service in die Registry ein und wird bei jedem Systemstart mitgestartet. Seine Bezeichnung: HKLMSYSTEMCurrentControlSetServicesCbEvtSvc. Der Prozess stellt eine Verbindung über Port 443 (SSL) her und holt darüber vermutlich noch mehr Schadcode ab, teilte G DATA mit. Der laufende Prozess verschickt wiederum Mails mit den Sensations-Betreffzeilen.

Per Drive-By wird auf dem befallenen System außerdem die falsche Antispyware-Suite ‘Antivirus XP 2008’ installiert. Vor ihr wird auch gewarnt: Nach Angaben von G DATA “findet” die Software viele nicht vorhandene Schädlinge, die man nur gegen Erwerb der angeblichen “Vollversion” beseitigen kann. Auf diese Weise versuchen die Kriminellen Kreditkartendaten abzuphishen. Die Täter werden dem Storm-Botnetz zugerechnet. Die Spam-Welle ist dabei nur die erste, die Fachleute rechnen in den kommenden Wochen mit noch mehr unerfreulichen Olympia-Botschaften dieser Art.