Neuer Trojaner nutzt Anschläge in London

Scheinbar besonders perfide Trojaner-Schreiber machen sich dieser Tage die Anschläge von London zu Nutze, um auf fremden PCs wüten zu können. Dabei gibt der Autor in einer E-Mail an, dass sich im Anhang Videoberichterstattungen zu den Anschlägen befänden. In Wahrheit installiert der nichtsahnende Benutzer aber einen Trojaner.

Derlei E-Mails hat der Antiviren-Spezialist Messagelabs in den vergangenen Tagen vermehrt abgefangen. Das Schreiben ist von der Aufmachung her an den Newsletter des US-Nachrichtensenders CNN angelehnt. Im Text selbst heißt es: „See attachments for unique amateur video shots“. Einmal ausgeführt, kopiert sich der Trojaner dann nach „%Windir%\winlog.exe“. Außerdem verändert der Trojaner den Registry-Schlüssel „HKLM/Software/microsoft/Windows/CurrentVersion/Run“, sodass er ab dem nächsten Systemstart automatisch ausgeführt wird. Einmal aktiv, sucht der Schädling nach konfigurierten SMTP-Servern, um sich selber über das Adressbuch des Opfers zu verschicken.

Aussender des Fake-Newsletters ist die Adresse „breakingnews@cnn-online.com“. Der Suffix CNN-Online gehört dabei selbstverständlich nicht zu den üblichen Endungen des Nachrichtensenders (cnn.com). In der Betreffzeile heißt es: „TERROR HITS LONDON“; die Datei mit den angeblichen Amateur-Aufnahmen nennt sich „London Terror Moovie.avi <124 Leerzeichen> Checked By Norton Antivirus.exe“ und sollte auf keinen Fall geöffnet werden.