Fast jede Wochen ist eine neue Domain betroffen! Vorige Woche was es die “s t u di o m a go s .ru/” und nun ist es die “klbtech.com/” Über diese wird, mittels Chat, der “JPG.scr” Virus versendet. Der Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren (Ausführen).
Viele Nutzer tappen hier in die Falle da sie denken es sein “Screen Saver” (Bildschirmschoner)
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet .
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Die Domain ist hierbei auch nicht zu beachten sondern immer die Struktur welche sich dahinter verbirgt!
Beispiel:
Folgende Domänen sind bis dato betroffen bzw. uns bekannt
http://w*w.vinamost.net
http://w*w.ferry.coza
http://w*w.maximilian-adam.com
http://w*w.bacolodhouseandlot.com/
http://w*w.serviceuwant.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.weread.in.th
http://w*w.sentosakaryautama.com
http://w*w.toyotechnicalservices.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.dekieviten.nl
http://w*w.villamatildabb.com
http://w*w.fionagh-bennet-music.co.uk
http://w*w.ukseikatsu.com
http://w*w.bzoe-salzkammergut.at
http://w*w.delicescolres.com
http://w*w.studiomagos.ru
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch
Passwörter,
besuchte zertifizierte Websites und
Cookies.Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktive Firewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Quelle und vollstaendiger Bericht : mimikama.at
