Im Rahmen einer groß angelegten Spam-Aktion sind derzeit verschiedene Mails im Umlauf, die angeblich neue Informationen zum Wirbelsturm Katrina versprechen. Der Hurrikan hatte weite Teile der US-amerikanischen Golfküste verwüstet; inzwischen werden tausende Tote befürchtet. In der Betreffzeile der vermeintlichen Info-Mails steht beispielsweise "Katrina killed as many as 80 people" oder auch "Hurricane! We probably have 80 percent of our city underwater". Im Text wird dann auf Web-Seiten verlinkt, wo zusätzliche News zu den Folgen des Wirbelsturms abrufbar sein sollen -- jedoch sind die fraglichen Web-Seiten mit Trojanern präpariert.
Im Hintergrund nutzen die Seiten einen alten Fehler des Internet Explorer, um auf dem System des Anwenders eine Datei C:\fh4uh.exe zu erzeugen und zu starten. Dabei handelt es sich um einen einfachen Downloader, der eine neue Borobot-Variante herunterlädt. Diese Backdoor wird von Sophos als Troj/Borobot-P erkannt und kann den infizierten PC über IRC fernsteuern und verfügt über eine eigene SMTP Engine. Zudem versucht der Schädling weitere Programme nachzuladen, die derzeit aber nicht verfügbar sind.
Und auch das auf der Web-Seite beworbene Zotob Removal Tool stellt in Wirklichkeit eine Schadsoftware dar, von Sophos als Troj/Borobot-Q benannt. Nach ersten Tests von AV-Test ist die Erkennungsquote der AV-Programme für die beiden Borobots noch nicht sonderlich gut.
Im Tagebucheintrag des Internet Storm Center wird außerdem über eine Zunahme von Web-Seiten mit "Katrina" oder "Hurrikan" im Namen berichtet. Derzeit versucht man in einer Liste legitime und unseriöse Angebote zu klassifizieren. Besonders Web-Seiten, wo um PayPal-Spenden geworben wird, sind den ISC-Mitarbeitern verdächtig, da nicht nachvollziehbar ist, wie mit den Spenden verfahren wird, oder ob sich hier jemand an der Katastrophe bereichern will.
Grundsätzlich gilt, bei allen größeren Ereignissen auf Trittbrettfahrer gefasst zu sein. Besonders vorsichtig sollte man bei Meldungen sein, die auf unbekannte Web-Seiten verweisen und bei angeblichen Bildern oder Videos, die man unaufgefordert per Mail zugeschickt bekommt. Oft verbergen sich dahinter ausführbare Dateien, die beim Öffnen gestartet werden und den Rechner infizieren. (Micha Pekrul) / (ju/c't)
QUELLE
