Wieder einmal sollten Facebook Nutzer darauf achtgeben, welche Nachrichten Sie von Freunden über den Chat bzw. über die Persönlichen Nachrichten bekommen. Im Moment wird wieder einmal ein “TROJANER” auf diese Art und Weise verbreitet. In der Nachricht steht: “Das solltest du dir ganz dringend ansehen!!! http://facebook-leaks.com/name.exe, wobei “Name” hier für einen Vor- und Nachnamen steht, der sich immer wieder ändert. Der Name wir automatisch generiert, und zwar von jener Person an, welche die Nachricht gesendet wird. Das bedeutet, dass z.B. auch DEIN NAME hier aufscheinen könnte. UPDATE: 2.12.2012: Diese neue Domäne stellt ebenfalls eine Gefahr dar: h t t p : / / 8 5 . 2 1 4 . 6 0 . 7 4 /vorname%20nachname.html sowie diese (Update:9.12.2012) h t t p : / / f b n e w s . i n f o /Vorname%20Nachname.html und diese: (Update: 17.12.2012) Diese neue Domäne versendet ebenfalls diesen Trojaner: h t t p : / / w w w . 3 p i c – f a i l s . d e /v o r n a m e % 2 0 n a c h n a m e . e x e
Vorsicht ist geboten bei Facebook bzw. bei Chatfenstern und Links die man nicht kennt, wie mimikama Berichtet hier mal ein Auszug der Warnung :
Wieder einmal sollten Facebook Nutzer darauf achtgeben, welche Nachrichten Sie von Freunden über den Chat bzw. über die Persönlichen Nachrichten bekommen. Im Moment wird wieder einmal ein “TROJANER” auf diese Art und Weise verbreitet. In der Nachricht steht: “Das solltest du dir ganz dringend ansehen!!! http://facebook-leaks.com/name.exe, wobei “Name” hier für einen Vor- und Nachnamen steht, der sich immer wieder ändert. Der Name wir automatisch generiert, und zwar von jener Person an, welche die Nachricht gesendet wird. Das bedeutet, dass z.B. auch DEIN NAME hier aufscheinen könnte. UPDATE: 2.12.2012! Diese neue Domäne stellt ebenfalls eine Gefahr dar: h t t p : / / 8 5 . 2 1 4 . 6 0 . 7 4 /vorname%20nachname.html
Vermehrt bekommen wir von Facebook-Nutzern die Information, dass Sie von fremden Nutzern, über die “Persönlichen Nachrichten” kontaktiert werden. Angeblich möchte der Verfasser der Nachricht dem Facebook-Nutzer eine gewisse Summe übermitteln. Dafür benötigt er nun den Namen, die Adresse uvm. des Nutzers!
So sieht die Nachricht aus, die im Moment an Facebook-Nutzer gesendet wird:
Hallo,
Nachdem ich über Ihr Profil, i, Sie auf einer Business-Vorschlag an entschlossen, Es scheint, Sie sind ein aufrichtiger person.I bin ein Soldat Arbeit als UN-Friedenstruppe Truppe in Afghanistan, den Krieg gegen terrorism.On Andererseits benötige ich Ihre Hilfe, ich habe in meinem Besitz die Summe von $16.2Millionen USD, die ich hier gemacht in Afghanistan und ich hinterlegt dieses Geld mit einem roten Kreuz Agent als eine Sendung enthält persönliche Wirkung.
Ich möchte Sie als Begünstigter stehen und erhalten die Fonds und bewahren Sie es sicher so, dass, sobald ich komme, wirst du mich unterstützen, um es in einem guten profitables Unternehmen zu investieren, werde ich Ihnen 30% des gesamten Geld für die Unterstützung nachdem Sie empfangen haben die money.I glaube ich dir vertrauen kann. Wo wir sind jetzt können wir nur durch unsere militärischen Kommunikationsmöglichkeiten, die gesichert, damit niemand unsere E-Mails überwachen können, sind zu kommunizieren, dann kann ich im Detail zu erklären. Ich will nur erreichen Sie per E-Mail, weil unsere Anrufe könnten überwacht werden, ich muss sicher sein, wem ich Umgang with.Please wenn man es verarbeiten kann, lass es mich wissen, so dass ich Sie auf der Modalität liefern, um auch folgen zu machen Sie sicher, dass Sie alles geheim zu halten, bis Sie den Fonds Bargeld als eine Sendung zu empfangen.
Holen Sie sich zurück, um mich mit den folgenden Informationen unten für uns, um fortzufahren.
IHRE VOLLE NAME_______________
IHRE VOLLE ADDRESS__________________
IHRE Direktwahltelefon NUMBER_______________ AGE___________________________
Vor einigen Stunden haben wir die ersten Nachrichten von Facebook-Nutzern erhalten, dass es einen weiteren “schädlichen” Link gibt der über die Chatfunktion versendet wird. Hinter diesem Link versteckt sich ein “Trojaner“. Die “Chat-Nachricht” lautet: “hahJhaha http://%7%7…usw” Auffällig bei dem Link sind die “%” Zeichen. Die Dateiendung lautet “.jpg” (Bilddatei). Klickt man auf diesen Link, öffnet sich sofort eine externe Webseite und es beginnt automatisch der Download einer “Zip” Datei. Unsere Antivirensoftware hat sofort Alarm geschlagen, als wir die Datei öffnen wollten! Solche schädlichen Links werden immer wieder auf Facebook verteilt. Das Problem ist, dass sich der Link an die gesamte Freundesliste verteilt, sobald man diesen anklickt. Sollte man seinen Chat deaktiviert haben, dann bekommt man diese Chatnachricht als “Persönliche Nachricht” in sein Postfach.
So sieht der Link aus, wenn man diesen mittels der “Persönlichen Nachrichten” bekommt:
Der Virus bzw. der link zum Virus wird immer und immer wieder automatisch im Chat gesendet , der gegenueber ist wahrscheinlich nicht mal am pc bzw. weiss nicht mal was davon das er so einen misst versendet.
Zip Dateien oder EXE Dateien sollte man niemals oeffnen so fern das nicht mit seinen gegenueber abgesprochen ist, und selbst dann hilft es die Datei vorher immer erst mit einem Virenscanner zu untersuchen !
Erst gestern (22.5.2012) haben wir darüber berichtet, dass man sich einen Trojaner einfangen kann, wenn man sich ein Update für einen “falschen” Flash-Player downloadet (zum Artikel: Hinter einem „Flash Player Update“ verbirgt sich ein Trojaner) und genau so wie bei diesem “Flash-Player Update” wird soeben ein neuer Schädling (Wurm) über den Facebook-Chat bzw. über die “persönlichen Nachrichten” versendet. Trend Micro gab soeben eine Warnung heraus, dass auf Facebook erneut ein Schädling sein Unwesen treibt, der vom Prinzip her die gleiche Vorgehensweise aufzeigt wie der Trojaner bei dem “Flash-Player Update”. Der Wurm setzt die Antivirensoftware außer Kraft und überwacht die Browser-Aktivitäten des Anwenders.
Seit ein paar Tagen geistert ein neuer Chatvirus, welcher auch über die persönlichen Nachrichten zu den Facebook-Nutzern gelangt, auf Facebook herum und dieser Virus / Trojaner / Malware hat es in sich denn viele Antivirenprogramme können diesen (wegen seiner Aktualität) NICHT ERKENNEN! Daher ist hier besondere Vorsicht geboten! Nachdem man den Link klickt wird man auf eine Seite weiter geleitet, welche ein “YouTube” Layout besitzt sich aber “MyTube” nennt! Nachdem man auf der Seite ist wird ein Fenster geöffnet wo man aufgefordert wird einen “Flash-Player” zu installieren und genau hinter diesem versteckt sich der Trojaner / Malware.
Der Link sieht so aus wobei sich die Zahl dahinter immer wieder ändern kann!
Der Link kann in Verbindung mit einem Smiley auftauchen!
Fast jede Wochen ist eine neue Domain betroffen! Vorige Woche was es die “s t u di o m a go s .ru/” und nun ist es die “klbtech.com/” Über diese wird, mittels Chat, der “JPG.scr” Virus versendet. Der Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren (Ausführen).
Viele Nutzer tappen hier in die Falle da sie denken es sein “Screen Saver” (Bildschirmschoner)
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet .
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Die Domain ist hierbei auch nicht zu beachten sondern immer die Struktur welche sich dahinter verbirgt!
Beispiel:
Folgende Domänen sind bis dato betroffen bzw. uns bekannt
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktiveFirewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Nun war einige Wochen eine Ruhe aber nun dürfte der “JPG.scr” Virus wieder seinen Weg zu Facebook gefunden haben. Der neuerliche Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Die URL, über welche der Viurslink versendet wird lautet “studiomagos.ru/Image/images…”. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren.
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche URL der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Der Link sieht in etwa so aus (beginnt aber im Moment mit der URL “studiomagos.ru/Image/images…”
hinter “/images.php?show_image305=…3798” können sich die Ziffern jedoch immer wieder ändern!
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktiveFirewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung, da hierbei weitere mögliche Schäden erspart bleiben.
2.) Überprüfe deinen PC umgehend mit einem Virenscanner deiner Wahl!
(Wir selbst verwenden avast! Free Antivirus und / oder Kaspersky
3.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
4.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
5.) Wenn die Punkte 1., 2., 3., keinerlei Erfolg gebracht haben dann sollte man eine Neuinstallation in Betracht ziehen!
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen:
