dirkp

Quelle und Info

Der Anbieter von Sicherheitssoftware Panda Antivirus warnt vor einer aktuellen Malware-Masche: per gefälschter Sicherheitsprogramme wurden laut Angaben der Sicherheitsexperten bereits 30 Millionen PCs weltweit infiziert. Schätzungsweise 900.000 Opfer haben sogar Geld überwiesen. Dafür greifen die Malware-Programmierer auf eine Vielzahl von Infektionsmöglichkeiten zurück.
Panda Antivirus warnt eindringlich vor einer aktuellen Malware-Masche: Falsche Virenwarnungen sollen User verunsichern und zur Herausgabe ihrer Kontodaten oder gar direkten Zahlungen verleiten. Im SearchSecurity.de-Forum existiert bereits ein entsprechender Beitrag zu diesem Fake-Antivirus-Problem.

Die gefälschten Sicherheits-Programme werden hauptsächlich per Adware verbreitet. Zunächst erscheinen auf dem betroffenen RechnerWarnmeldungen, dass der PC angeblich mit Malware befallen ist. Anschließend fordert die Malware unverzüglich zum Kauf einergefälschten Antiviren-Software auf

Anstatt der angepriesenen Ware bestellt der gewarnte „Kunde“ allerdings nur Ärger. Nachdem er seine Kontodaten angegeben oder gar sofort knapp 50 Euro überwiesen hat, hört er natürlich nichts mehr von den angeblichen Anbietern. Verbreitet wird die Malware unter anderem per Trojaner.


Dieser Spammer.AJR genannte Schädling lockt den Nutzer auf eine gefälschte Youtube-Seite, bei deren Besuch der falsche Virenwächter automatisch installiert wird. Neben diesem Exemplar haben es noch zwei weitere Schadprogramme in den aktuellen Schädlings-Wochenrückblick von Panda geschafft: ein Banking-Trojaner namens Banbra.GBQ und APop.A.



Falscher eMule-Client


APop.A ist eine Java-Scriptdatei, die mehrere IE-Fenster öffnet. In einem Fenster erscheint ein eMule-Download. Sowohl Webseite als auch Programm sind vom Orginal nur schwer zu unterscheiden. Nur in den Lizenzbedingungen findet man die Klausel, die eine Nutzung an die gleichzeitige Installation der Adware „Naviprimo“ bindet.

Banbra.GBQ ist hingegen ein klassischer Trojaner, der nach Installation per kompromittierter Word-Datei alle Bankgeschäfte ausspioniert, die über den Zielcomputer abgewickelt werden. Das schadet zwar dem Einzelnen, lässt sich aber sowohl leicht nachverfolgen wie auch unterbinden. Durch das Vorgaukeln falscher Antivirensoftware sind laut Hochrechnungen von Panda bisher aber rund 45 Millionen Euro ergaunert worden – nur durch die Gutgläubigkeit von Usern

ZynK

Das Schlimme ist ja, es ist ein Teufelskreis.
Solange viele User nicht erfahren genug durchs WWW surfen,
werden sie immer wieder Opfer solcher Malware-Attacken.
Und solange die Virenautoren damit Geld bekommen, werden sie
weitermachen.

__________________
Man kauft das, was man nicht braucht,
von dem Geld, das man nicht hat,
um dem zu imponieren, den man nicht mag.
- Prestigekonsum

dirkp

Das stimmt andersrum ist es auch nicht besser.

Einige User bekommen sofort Panik und "verlangen" das die das Programm sauber haben möchten. Denen ist es vollkommen egal, ob deren AV eine Falschmeldung ausgibt oder nicht.
Problem hier ist das die sich zu sehr auf das AV verlassen und die sich schnell sowas einfangen können.

Aber selbst wenn einen das passieren sollte. Egal, PC formatieren Backup zurück und gut ist. Aber solche User haben meistens keine Backups

ab42r

... oder die Backups sind dermaßen alt, daß sie fast wertlost sind. Eine Neuinstallation wegen des Zeitaufwands wird auch gerne vermieden.

__________________

Xeon

Die Erkennung der Fake AV durch "richtige" Virenscanner ist auch nicht immer berauschend, ein Beispiel dazu hab ich heute gefunden.

Fake AV

__________________

Kenshiro

Nun ja Xeon, Du hast vermutlich Recht, aber:
Diese Rogue-Programme, schießen momentan wie Pilze aus dem Boden.
Es ist ganz klar, daß unerfahren Nutzern hier den Überblick zwischen "Gut" und "Böse" Ich "sammle" diese Progz und unter sie und leiter sie weiter an KL um zu wissen, ob was ich gefunden habe auch mit denen Ergebnisse auch stimmt. Aber diese Programme werden immer raffinierter "geschrieben"

__________________
"Kenshi" sagt sayonara
-----------
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]

dirkp

Auch sollte klar sein, das man Software aus unbekannter Quelle meiden sollte.

Ich würde niemals einem unbekannten AV trauen. Mal abgesehen davon von es ein Fake ist. Solange es nicht getestet wurde, nutze ich es auch nicht.
Testen so wie das Comodo AV nur in einer sicheren Vbox Umgebung.

Wer nicht sicher ist dem sei Sandboxie - Sandbox software for application isolation and secure Web browsing empfohlen. Gutes sicheres Programm um solche Sachen zu testen. Sollte immer die erste Wahl sein. Auch gibt es andere Testseiten im Netz die ausführlicher Testen.

Problem wäre hier das selbst wenn die Erkennung besser wäre, viele das gar nicht drauf hätten sondern nur das Fake AV.

dirkp

Da es nicht mit den editieren klappt.

Test mit Eset Smart Secure. Wird sofort beim downloaden erkannt

//Edit Klappt noch*

Hier mal ein paar andere Ergebnisse

Virustotal. MD5: eece53fa0335a7c925288e6e5b59e382 Packed.Generic.187 TrojanDownloader:Win32/Renos.gen!AF

und*
Virustotal. MD5: b0674e8e6c99de286a62b2fde5358110 TrojanDownloader:Win32/Renos.gen!AF

mal eine Ausnahme
Virustotal. MD5: 0d21323b462dc15ddab0bc7012421ed6 Downloader.MisleadApp New Malware.aj W32/Packed_Upack.A

und keiner
Virustotal. MD5: b55bc958eb37ae1e2c325d45857c22eb


Deshalb sollte immer die brain.exe funktionieren. Und sich nicht auf das AV verlassen, egal welches

Angehängte Grafiken

Eset.jpg (11,0 KB, 4x aufgerufen)