Am 29. Juni 2009 Keine Anmerkung29 June 2009 No Comment

Kyberverbrecher verwendeten wieder den Übergang von Michael Jackson, dem 'König des Knalls,' vor ein paar Tagen als eine Gelegenheit, über mit ihren böswilligen Tätigkeiten zu gehen und unschuldige Benutzer anzugreifen.Cybercriminals once again used the passing of Michael Jackson, the ‘King of Pop,’ a few days ago as an opportunity to go about with their malicious activities and attack innocent users.

Wir entdeckten eine E-Mail (sieh Abbildung 1 unten) über den Tod von Michael Jackson, der auf Spanisch geschrieben ist, das behauptet, von CNN Mexiko zu sein.We spotted an email (see Figure 1 below) about Michael Jackson’s death written in Spanish claiming to be from CNN Mexico.

Auf die nähere Analyse (sieh Abbildung 2 oben), fanden wir, dass der Absender der E-Mails - info@hi5.com nicht gültig ist, der ein spammed Absender ist. Die E-Mail enthielt auch genaue Information über Michael Jackson, sich selbst Vertrauenswürdigkeit kaufend, um Benutzer ins Klicken auf die innerhalb der Nachricht enthaltenen Verbindungen zu locken.Upon closer analysis (see Figure 2 above), we found that the sender of the email isn’t valid – info@hi5.com which is a spammed sender. The email also contained accurate information about Michael Jackson, buying itself credibility in order to lure users into clicking the links contained within the message.

Vorerwähnte E-Mail enthielt auch eine misstrauisch schauende Verbindung zu einem 'exklusiven Video von CNN' über das Ereignis. Die meisten anderen Verbindungen auf der spammed Nachricht waren unzugänglich und konnten nicht die richtige Website zeigen. Aber eine Verbindung-el sitio en Internet TMZ (übersetzt ins Englisch: 'Gefunden in der TMZ Website') - der eine Verbindung zur Seite war, wo das Video vermutlich veranstaltet wird, aber adressiert es den Benutzer zu einer anderen böswilligen Seite-http://um {BLOCKIERTE}.com/openbb/avatars/imagen/CNN/indexx.php. Die Drohung in vorerwähnter Seite wird durch die als HTML_DLOADR.ARM Mikro-Tendenz entdeckt.The said email also contained a suspicious-looking link to an ‘exclusive CNN video’ about the event. Most of the other links on the spammed message were inaccessible and could not display the correct website. But one link—el sitio en internet TMZ (translated to English: ‘found in the TMZ website’)—which was a link to the site where the video is supposedly hosted but it redirects the user to another malicious site—http://{BLOCKED}.com/openbb/avatars/imagen/CNN/indexx.php. The threat in the said page is detected by Trend Micro as HTML_DLOADR.ARM.

Diese Seite enthält nichts außer einem schwarzen Hintergrund und einem Nachrichtenkasten, dem Benutzer sagend, dass die Blitz-Spieler-Version, die auf seinem/ihrem System läuft, vorerwähntes Video nicht spielen kann. Der Nachrichtenkasten enthält drei Knöpfe (sieh Abbildung 3 oben), klickend, von denen einige das Download eines böswilligen file-flash-installer-windows.exe-which auslösen wird, behauptet, die richtige Blitz-Spieler-Version zu sein, die ihm/ihrem erlauben wird, das exklusive Video anzusehen. Vorerwähnte böswillige Datei wird als BKDR_IRCBOT.BW entdeckt. BKDR_IRCBOT.BW steht zu einem bestimmten IRC Server in Verbindung und schließt sich dann einem IRC Kanal an, wo er auf Befehle von einem entfernten Benutzer wartet.This site does not contain anything but a black background and a message box telling the user that the Flash player version running on his/her system cannot play the said video. The message box contains three buttons (see Figure 3 above), clicking any of which will trigger the download of a malicious file—flash-installer-windows.exe—which claims to be the right Flash player version that will allow him/her to view the exclusive video. The said malicious file is detected as BKDR_IRCBOT.BW. BKDR_IRCBOT.BW connects to a certain IRC server and then joins an IRC channel where it waits for commands from a remote user.

Ziemlich bemerkenswert ist, dass, selbst wenn ein Benutzer den Knopf Cancel wählt, der ihm/ihrem erlauben sollte, davon aufzuhören, die Datei herunterzuladen, die Seite fortsetzen wird, das Download des codec zu stoßen, Benutzer ohne Wahl verlassend, aber sich mit der böswilligen in ihr System heruntergeladenen Datei zu befassen.Quite notable is that even if a user chooses the Cancel button, which should allow him/her to quit from downloading the file, the site will continue to push the download of the codec, leaving users with no choice but to deal with the malicious file downloaded into their system.

Die spam Nachricht und böswillige in diesem Angriff verwendete Website werden bereits durch die Tendenz Kluges Mikroschutznetz blockiert.The spam message and malicious website used in this attack are already blocked by the Trend Micro Smart Protection Network.

Posten von: TrendLabs | Malware Blog - durch die Mikro-TendenzPost from: TrendLabs | Malware Blog - by Trend Micro

Michael Jackson Video Führt zu Malware-DownloadMichael Jackson Video Leads to Malware Download