Mit Nacktfotos von Angela Merkel kommt der MSIL/Injector Trojaner auf den Rechner
Wer einen WordPress-Blog mit Kommentarfunktion betreibt hat sicherlich auch das Problem, dass täglich neue Spam-Kommentare im System landen. Mit Plugins wie Akismet, AntiSpam Bee und anderen Lösungen wird vieles bereits automatisch weggefiltert und der Spam landet im virtuellen Papierkorb. Hin und wieder muss man als Blog-Betreiber manuell nachbessern und automatisierte Kommentare zu dubiösen Shop-Seiten sowie Gaming-, Casino-, Pillen- oder Sex-Portalen o.ä. händisch entsorgen.
Eine weitere Masche ist es, – und diese fiel heute hier auf Browserdoktor auf – direkte Verweise zu Viren und Trojaner im Kommentarfeld zu platzieren. Diesen Eintrag habe ich mir etwas näher angeschaut und möchte ihn hier kurz vorstellen.
Gefährlicher Blog-Kommentar
Von der IP-Adresse 185.156.173.166, die auf Paris hindeutet, gelangte dieser Kommentar im Blog:
Der eingebundene Link führt zum Download einer kleinen zip-Datei. In dieser befanden sich 2 Schwarzweiß-Bilder, auf denen per Photoshop das Gesicht von Angela Merkel auf FKK-Bildchen projektiert wurde. Sicherlich für einige ganz witzige WhatsApp- und E-Mail-Anhängsel, die sicher schon seit Jahren durchs WWW getrieben werden.
Interessanter ist die 3. Datei. Eine Verknüpfung mit der Dateiendung JPG, welche sicher auch schnell von vielen angeklickt wird, da man ja „unbedingt auch die anderen so lustigen Bilder sehen möchte …“
Diese Windows-Verknüpfung öffnet die Powershell von Windows und startet unbemerkt im Hintergrund einen kleinen Download einer vermeintlichen Textdatei. Diese wird als ausführbare w.exe auf dem Computer abgespeichert und gestartet.
Dahinter verbirgt sich eine Schadsoftware, die u.a. als MSIL/Injector.REO Trojaner von den Sicherheitssoftware-Herstellern bezeichnet wird und unter Windows Prozesse mit Malware infiziert. Weitere Informationen zur gefundenen Schadsoftware unter virustotal.com.
Auf dem Versuchsrechner hätte die installierte Sicherheitssoftware ESET Smart Security ein Ausführen und somit eine Malware-Infektion verhindert. Andere Antiviren-Programme hätten an dieser Stelle möglicherweise versagt.
Aufpassen, was als Kommentar veröffentlicht wird und was Sie klicken
Leider schalten viele Blogger Kommentare ungesehen und ohne weitere Prüfung frei. Somit hätte dieser Trojaner auch die Besucher der eigenen Webseite befallen können, wenn sie neugierig auf diesen Link im Kommentar klicken.
Genauso gut kann solch ein Verweis in einem Forum, in einem sozialen Netzwerk wie Facebook oder in einer E-Mail auftauchen. Seien Sie vorsichtig was Sie im Netz anklicken und bleiben Sie misstrauisch. Mehr Information zur Sicherheit im Internet finden Sie hier auf den Browserdoktor-Seiten.
Danke für den Hinweis. Guter Beitrag.