Trojaner Win32/Hanlo.I tarnt sich als Valentinskarte
Fällt der Empfänger auf den Trick herein, erfährt er, dass er zunächst einen Flash-Player installieren müsse. Dieser Player mit dem Namen flashplayer.cab enthält allerdings den Trojaner Win32/Hanlo.I.
Im CAB-Archiv befindet sich die Datei install.exe, die von CA Antivirus als Win32/MicroJoiner.I erkannt wird. Bei Ausführung installiert sie den Trojaner, der wiederum einen Treiber einrichtet, der die Anwesenheit des Trojaners auf dem System verbergen soll. Zudem registriert er sich selbst als Windows-Dienst mit dem Namen „AVSearch service“. Dieser ist allerdings auf Grund der Stealth-Technik nicht ersichtlich. Zusätzlich lädt der Trojaner weitere Dateien aus dem Internet nach. CA meldet, dass es sich dabei um Win32/Haxdoor!generic handelt.
Um nicht aufzufallen, öffnet die Installationsroutine eine Webseite mit einer Valentinskarte. Diese Seite ähnelt www.original-cards.com zum Verwechseln. Die (gefälschte) Absenderadresse der SPAM-Mail stammt ebenfalls von original-cards.com. (mha)
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |