Trojaner Win32/Hanlo.I tarnt sich als Valentinskarte

CA meldet eine SPAM-Kampagne, die mit dem Hinweis auf eine erhaltene Valentinskarte Benutzer auf eine Trojaner-Site locken soll.

Fällt der Empfänger auf den Trick herein, erfährt er, dass er zunächst einen Flash-Player installieren müsse. Dieser Player mit dem Namen flashplayer.cab enthält allerdings den Trojaner Win32/Hanlo.I.

Im CAB-Archiv befindet sich die Datei install.exe, die von CA Antivirus als Win32/MicroJoiner.I erkannt wird. Bei Ausführung installiert sie den Trojaner, der wiederum einen Treiber einrichtet, der die Anwesenheit des Trojaners auf dem System verbergen soll. Zudem registriert er sich selbst als Windows-Dienst mit dem Namen „AVSearch service“. Dieser ist allerdings auf Grund der Stealth-Technik nicht ersichtlich. Zusätzlich lädt der Trojaner weitere Dateien aus dem Internet nach. CA meldet, dass es sich dabei um Win32/Haxdoor!generic handelt.

Um nicht aufzufallen, öffnet die Installationsroutine eine Webseite mit einer Valentinskarte. Diese Seite ähnelt www.original-cards.com zum Verwechseln. Die (gefälschte) Absenderadresse der SPAM-Mail stammt ebenfalls von original-cards.com. (mha)

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner