Der Schädling namens "Worm.Win32.Yimfoca!A2" oder "Trojan.Win32.Scar!IK" verschickt über das Chat-System Nachrichten an die Freunde eines infizierten Nutzers. In der Nachricht steht nur lapidar "hahahh Foto", gefolgt von einem Link, der wiederum auf eine gefälschte Facebook-Seite führt. Auf dieser wird darauf hingewiesen, dass das Foto verschoben wurde ("Photo has been Moved"). Wer nun auf "View Photo" klickt, lädt ohne es zu wissen den Schädling auf seinen Computer. Sobald die Datei ausgeführt wird, öffnet sich ein weiteres Browserfenster und es wird wahlweise eine harmlose MySpace- oder Google-Seite geöffnet.
Fingierte Konto-Sperrung
Die nun im Hintergrund aktive Malware bleibt zunächst unscheinbar. Erst wenn der Anwender seinen Facebook-Account öffnet, wird sie wieder aktiv und verschickt neue Foto-Chat-Nachrichten an alle Freunde des Anwenders. Beim nächsten Versuch, sich auf Facebook einzuloggen, wird die Login-Seite blockiert und die Malware lockt den Nutzer mit einer fingierten Umfrage samt Gewinnaussicht ("Win an Apple Product) auf eine Website mit Anzeigen oder sogenannten Affiliate-Links von Partnern, wie Emsisoft in seinem Blog beschreibt.
Eine andere Variante des Schädlings zeigt die Geburtstagsmeldung "Today is our 6th Birthday!", sobald der Anwender Facebook öffnet. Wechselt der Nutzer nun wieder zu seiner Login-Seite zurück, bekommt er mitgeteilt, dass sein Facebook-Account für 80 Minuten ausgesetzt wurde und erst wieder freigegeben wird, wenn er an einer Umfrage teilnimmt ("Your account has been suspended! The suspend will be released after 80 minutes. The suspend will be disabled only if you fill out one survey!").
Der Account wird allerdings nicht wirklich ausgesetzt, vielmehr handelt es sich um eine gefälschte Meldung der Malware. Auch hier führt dann der Link nicht auf die Umfrage, sondern auf die Website mit den Anzeigen.
Nicht anklicken, Adresszeile überprüfen, Chat deaktivieren
Thomas Günther, Pressesprecher von Emsisoft, rät Facebook-Nutzern, etwaige Seiten zu schließen und unter keinen Umständen auf die weiterführenden Links zu klicken. Zudem sollte die Adresszeile im Auge behalten werden; so könne überprüft werden, ob man auf der Original-Seite von Facebook surfe oder eine gefälschte Seite vor sich habe. Wer auf Nummer sicher gehen möchte, deaktiviert die Chat-Funktion (über das Chat-Fenster unter "Optionen" auf "Offline gehen" klicken) und läuft so auch nicht Gefahr, über diese infizierte Meldungen zu erhalten.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.