Malware tarnt sich als Yahoo-Grußkarte

Falsche Grußkarten-Mails sind immer noch ein beliebter Weg, um Malware zu verbreiten. Zurzeit sind Spam-artig verschickte Mails unterwegs, die sich als "Ecard from Yahoo! Greetings" ausgeben. Sie kommen mit einem Betreff wie "Your Secret supporter has sent you an e-card from Yahoo! Greetings cardID: 5115" oder Varianten davon ("A Secret admirer has ...", "Your Secret partner has ...", "The Friend has ...") mit veränderlicher "cardID". Die Mails enthalten mehrere Links, einer davon führt auf eine nachgeahmte Website von Yahoo Greetings / American Greetings. Dort werden Besucher aufgefordert, ihren Flash Player zu aktualisieren.

Quelle der Spam-Mails ist eines der vielen Botnets, dessen Betreiber weitere Zombies rekrutieren will. Das gleiche Botnet ist auch früher schon durch Massenversand von Phishing- und Spam-Mails aufgefallen. In diesem Fall werden die gefälschten Webseiten von Zombie-PCs des Botnets ausgeliefert.

Bei dem vorgeblichen Flash Player (get_new_flashplayer.exe, 44 KB) handelt es sich um ein Trojanisches Pferd, das eine Hintertür ins System öffnet. Dafür kann es einen beliebigen TCP-Port verwenden. Es nimmt Kontakt zu voreingestellten Mail-Servern auf und verschickt sich selbst per Mail als ZIP-Archiv mit Passwortschutz. Das Passwort steht im Mail-Text. Vor kurzem ging bereits eine Spam-Welle der Sturm-Wurm-Gang durch das Netz, mit der diese für ihren "Storm-Codec" geworben hat. (PC-Welt/mja)