Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Neues Virus infiziert Windows und Mac OS X über Twitter

24. Juni 2009

Das Moskauer IT-Security-Unternehmen berichtet über eine neue Bedrohung, die sich über den Micro-Blogging-Dienst Twitter.com verbreitet. Von einem vertrauenswürdigen Benutzerkonto wird an andere Nutzer eine Nachricht mit einem schädlichen Link versendet. Beim Anklicken wird man aufgefordert, ein vermeintliches Codec für einen Pornospot herunterzuladen. Das Codec erweist sich aber als Schädling. Die Spezialanfertigung der Cyber-Kriminellen identifiziert das Betriebssystem und gefährdet sowohl Windows als auch Mac OS X.

Am Mittwoch, dem 24. Juni erschien im Microblog eines ehemaligen Mitarbeiters von Apple eine Meldung mit dem Header "Leighton Meester sex tape video free download!" und einem Link, der andere Nutzer auf eine Website mit Malware weiterleitete.

Dieser Microblog erfreut sich bei Twitter-Nutzer großer Beliebtheit und verzeichnet ca. 140 000 Abonnenten. Und die Welle schlug gegen diese Abonnenten. Beim Anklicken der Meldung gelangte der Internetnutzer durch den Kurzlink-Dienst www.bit.ly auf die Videohosting-Seite www.nowpublic.com mit dem oben genannten Spot. Danach wurde man auf die Seite http://worldt**e.su umgeleitet und anschließend gebeten, das Codec ActiveXsetup.exe herunterzuladen. Das angebliche Codec entpuppte sich als Virus.

Das Schadskript unter http://worldt**e.su erkennt dabei das Betriebssystem des Internetnutzers nach einem User-Agent des Web-Browsers. Bei Web-Browsern unter Windows befindet sich unter der Tarnkappe des Codecs Backdoor.Tdss.119.

Bei Browsern unter Mac OS X taucht Mac.DnsChange.2 auf. Nach dem Start von ActiveXsetup.dmg wird auch die Datei install.pkg gestartet, die das Perl-Skript aktiviert. Anschließend wird der Schädling geladen.

Er unterschiebt auf dem infizierten System andere DNS-Server-Adressen, die Anwender bei ihren Nachfragen in der Adressenzeile ihres Browsers benutzen. Solches Virus-Verhalten kann sowohl bei der Suchmaschinenoptimierung als auch beim Umleiten der Internetanwender auf gefährliche Web-Inhalte verwendet werden.

Kurz nach dem Auftauchen der gerüchigen Meldung wurde der Link unter http://www.nowpublic.com/, der auf http://worldt..e.su umleitete, gelöscht. Der Link war aber über 10 Stunden aktiv. Er wurde an Abonnenten versendet von ihnen mehrmals zitiert.

Die Sicherheitsspezialisten von Doctor Web empfehlen deshalb nur lizenzierte Antivirensoftware mit neuesten Updates zu benutzen. Internetanwender, die Dr.Web Security Space, Dr.Web Enterprise Suite, Dr.Web für Mac OS X benutzen bzw. Dr.Web Antivirus-Service abonnieren, sind dabei zuverlässig geschützt.

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden