Ende Februar 2013 hat es damit angefangen, dass es etliche Facebook-SEITEN gab, die angeblich diverse Geräte erhalten haben, die nicht verkauft werden konnten. Der Grund war angeblich, dass diese nicht richtig verpackt wurden(Sowas aber auch!). Dies war dann der Grund dafür, dass diese “Like-Geilen” Seiten diverse Verlosungen veröffentlicht haben und so Tausende neue Nutzer als Fans bekommen haben. Uns ist kein einziger Fall bekannt, dass hier Nutzer etwas gewonnen haben. Seit Wochen haben wir nicht mehr über solche Seiten gehört, aber nun taucht auf einmal wieder so eine “Seite” auf. Dieses nennt sich “Android Produkte Gratis”. Selbstverständlich sind keinerlei Hinweise über den Betreiber wie z.B. ein Impressum zu sehen udgl.. Man weiß also nicht, wer der Ersteller der “Seite” ist. Das Einzige was man erkennt, sind die für solche Seiten typischen “Produktfotos” sowie der typische Begleittext.
Nun war einige Wochen eine Ruhe aber nun dürfte der “JPG.scr” Virus wieder seinen Weg zu Facebook gefunden haben. Der neuerliche Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Die URL, über welche der Viurslink versendet wird lautet “studiomagos.ru/Image/images…”. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren.
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche URL der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Der Link sieht in etwa so aus (beginnt aber im Moment mit der URL “studiomagos.ru/Image/images…”
hinter “/images.php?show_image305=…3798” können sich die Ziffern jedoch immer wieder ändern!
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktiveFirewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung, da hierbei weitere mögliche Schäden erspart bleiben.
2.) Überprüfe deinen PC umgehend mit einem Virenscanner deiner Wahl!
(Wir selbst verwenden avast! Free Antivirus und / oder Kaspersky
3.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
4.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
5.) Wenn die Punkte 1., 2., 3., keinerlei Erfolg gebracht haben dann sollte man eine Neuinstallation in Betracht ziehen!
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen:
In den letzten beiden Tagen haben sich vermehrt Facebook-Nutzer geäußert, dass ein neuer Virus, welcher über die Chatfunktion versendet wird, sein Unwesen treibt. Im Chatfenster wird ein Link zu einer *.JPG (Bilddatei) versendet. (Der Link: http:/ /www. bacolodhouseandlot. com/ facebook_img.php? l=IMG37322.JPG Wie wir auch erfahren haben dürfte dieser Virus sehr hartnäckig sein und sobald man sich diesen eingefangen hat sollte man seinen PC unbedingt neu aufsetzen! Sobald man den Link klickt wird eine Datei heruntergeladen und danach sollte sich eigentlich ein Bild öffnen aber dies geschieht nicht sondern der PC stürzt ab! Sobald man den PC wieder startet erschein die Windows-Starthilfe!
So sieht der Link im Chatfenster aus:
Nach einem Klick wird dieser automatisch an seine gesamte FREUNDESLISTE versendet!
Sobald man den Link klickt wird eine Datei heruntergeladen und danach sollte sich eigentlich ein Bild öffnen aber dies geschieht nicht sondern der PC stürzt ab! Sobald man den PC wieder startet erschein die Windows-Starthilfe und ein Klick auf diese bringt den PC wiederum zum abstürzen.
Von vielen Nutzern haben wir erfahren, dass Sie Ihren PC neu aufsetzen mussten da sich der Virus in sehr viele Dateien reingeschrieben hatte!
Vor erst wenigen Stunden nahm eine neue Variante des “Chatfenster-Virus” Ihre Aktivität auf, welche sogar den Facebook Account des Nutzers sperrt! Immer wieder kommt es zu Virenmeldungen auf Facebook aber diesmal ist wirklich der “TROJANER” drinnen! Der Trojaner wird über die Chatfunktionen in Windeseile verbreitet. Der Trojaner verbreitet sich in einer Chat-Nachricht welche man von einem “Freund” erhält. Zumeist steht in der Nachricht das Wort “hahahh Foto” oder aber auch “Video” und 1 oder 2 lachende Smileys.
Trojan.Win32.Scar nennt sich dieser Trojaner
Der Trojaner Win32.Scar verbreitet sich über das Chatfenster von Facebook! Es erscheint die Meldung “hahahh Foto” und man wird auf eine “GEFÄLSCHTE FACEBOOK SEITE” geführt.
Wenn man auf dieser Seite nun ist erscheint die Meldung “Photo has been moved” (Deutsch: Foto wurde verschoben) Wenn man das Bild dennoch sehen möchte muss man auf “View Photo” klicken.
ACHTUNG! Dieser Klick führt nicht zum versprochenen Foto sondern es STARTET NUN DER DOWNLOAD DER MALWARE!!!!
Der PC wird mit dem Trojaner Win32.Scar infiziert welcher sich dann auch SELBSTÄNDIG über die NACHRICHT MIT DEM FOTO LINK AN DEINE FREUNDE WEITERVERBREITET!
Selber bemerkt man davon NICHTS, da nach dem “View Photo” Klick nur eine Google (manchmal auch eine MySpace) Seite öffnet.
Angeblich ist man selbst auf einem Foto zu sehen und es gibt in dieser Nachricht einen Link zum vermeintlichen Bild in dieser Nachricht. Wenn man nun auf diesen Link klickt, damit man das Foto zu sehen bekommt wird zunächst zwar nur eine “Fehlerseite” angezeigt wo in etwa steht, dass das Bild an einem anderen Ort hinterlegt sei und wenn man nun auf den Link “View Photo” klickt hat man sich bereits den Virus eingefangen.
So können die Chatfenster aussehen!
Es kann auch sein das du eine Nachricht von Freund bekommst, wo er behauptet, du seist in einem Video/Foto inkl. Link dazu, klicke NICHT AUF DIESEN LINK!!! Dieser würde dich zu einer Facebook Seite weiterleiten und dort sofort eine Datei downloaden.
Neue Masche: Im Telefonnetz gefangen – In Heidenheim mehren sich Hinweise auf Vertreter einer Telekommunikationsfirma, die an den Haustüren klingeln und wegen ihres aggressiven Verhaltens und dubios anmutenden Geschäftsgebarens auffallen.
Quelle: Schwaebische-Post.de / Zum Artikel [abzocknews.de]