Aktuelles Die Hintergründe von „Schockierendes Video„ und „Das solltest du dir unbedingt ansehen„

Die Hintergründe von „Schockierendes Video„ und „Das solltest du dir unbedingt ansehen„

Facebook-Themen

„Maddie“ McCann: Staatsanwaltschaft hat Beweise für ihren Tod

Seit Mai 2007 ist das britische Mädchen verschwunden. Ein 43 Jahre alter Deutscher steht unter Mordverdacht und hatte möglicherweise einen Komplizen. Dieser Inhalt wurde von...

Kann der PCR-Test das Coronavirus gar nicht nachweisen? (Faktencheck)

Der PCR-Test wird immer wieder diskutiert. Kann er das Virus gar nicht nachweisen? Jene Behauptung stammt nicht von irgendeinem Arzt, sondern von einer Virologin: Prof....

Fake-Profil: Ruediger Dahlke verlost kein Geld

Vorsicht: Seit längerem versuchen Betrüger im Namen von Ruediger Dahlke an persönliche Daten sowie Kontoinformationen zu gelangen. Aktuell lockt eines dieser gefälschten Profile wieder auf...

Nein, das sind keine Jugendlichen aus Moria!

Auf Facebook wird suggeriert, ein Foto zeige Jugendliche und junge Erwachsene aus Moria. Anfang September brannte das Flüchtlingslager in Moria, seitdem wird darüber diskutiert, wo...
-WERBUNG-
- Advertisement -
- Werbung -

Heute möchten wir euch zeigen was wir bei der näheren Analyse zweier alter Bekannter heraus gefunden haben.
Es dreht sich um diese zwei Berichte und ihren Zusammenhang!
Bis jetzt haben wir über diese zwei Fälle immer getrennt berichtet.
Heute ist uns allerdings aufgefallen das beide Fälle sehr eng zusammen arbeiten.

Um diese
Berichte
geht es:

>> https://www.mimikama.at/allgemein/trojaner-warnung-vor-das-solltest-du-dir-ganz-dringend-ansehen/ und

>> https://www.mimikama.at/allgemein/trojaner-warnung-schockierendes-video17-jahre/

Fangen wir mit dem Post an welcher dem Nutzer ein schockierendes Video verspricht.

Im Post selbst ist die Videovorschau von Facebook nachgeahmt. Dort sehen wir ein Mädchen mit leicht herunter gezogener Hose.
Für viele ist dies schon genug an die animalischen Instinkte appelliert um dem Link im Köderpost zu folgen.

image

Wie in unserem ursprünglichen Bericht beschrieben (>> https://www.mimikama.at/allgemein/trojaner-warnung-schockierendes-video17-jahre/) öffnet sich eine Seite die YouTube nachahmt und auffordert einen Code einzugeben um das Video sehen zu können.
Schaut man sich diese Seite etwas genauer an dann kann man allerdings erkennen das diese aus mehreren Schichten besteht (man muss schon sehr genau schauen).

Eine Schicht ist die deutlich zu sehende Nachahmung einer YouTube Seite, diese liegt aber wie eine Folie über einem Facebook Kommentarfeld.
Wenn der Nutzer also nun den oben angezeigten Code in das Textfeld eingibt dann tut er dies nicht auf einer YouTube Seite sondern in einer Facebook Kommentarbox.

image

Wird nun auf „SUBMIT“geklickt dann klickt man gleichzeitig auf den darunter liegenden „Comment“ Button.
So kommen dann die bekannten „Schockierendes Video“ Posts mit der Zahlenkombination zustande.

Nachdem man diesen unbeabsichtigten Post getätigt hat sieht man das „Vorschaubild“ mit dem Mädchen und darunter einen Link „Video downloaden“.
Noch bevor man etwas anklicken kann öffnet sich allerdings ein Fenster vom Browser (in unserem Falle Firefox) und möchte eine Datei downloaden.

Das geschieht wahrscheinlich ebenso durch Eingabe der Nummer und betätigen des Buttons, denn der Link zum Video ist bereits beim ersten öffnen der Seite im Quellcode versteckt.

Die Datei hat den Namen „video_NUMMER.exe“. Die Nummer hinter „video_“ ist immer die Nummer die man vorher in das Textfeld eigegeben hat.
Der nicht allzu erfahrene Nutzer nimmt hier wahrscheinlich an das es sich hier um eine Video Datei handelt, das ist aber wie man an der Dateiendung EXE erkennen kann nicht der Fall.
Sollte der Nutzer nun noch auf den Gedanken kommen diese Datei zu öffnen nistet sich ein Trojaner auf seinem Rechner ein.

Und hier beginnt dann der Trojaner sein Werk.

Wir konnten noch nicht alle Teile des Schadcodes untersuchen und können daher auch nicht genau sagen was er alles kann und tut. Was wir bis jetzt aber erkennen konnten lässt einiges vermuten.
Das auffälligste am Aufbau dieses Trojaners ist das er (zumindest für uns) nahezu identisch ist mit den Dateien die über die Nachrichtenfunktion von Facebook verteilt werden.

Diese haben wir in dem anderen Bericht bereits behandelt.

Der Nutzer erhält von einem Freund die Nachricht mit dem Inhalt

„Das solltest du dir ganz dringend ansehen!!! http://AHEISPSX.facebook-skandale.de/VORNAME NACHNAME.exe“.

image

Verweis zu unserem Bericht: https://www.mimikama.at/allgemein/trojaner-warnung-vor-das-solltest-du-dir-ganz-dringend-ansehen/

Der Teil „facebook-skandale.de“ ist hier übereinstimmend mit der Adresse auf der auch die gefälschte YouTube Seite gespeichert ist. (Anmerkung: Die Domäne kann sich hier immer wieder ändern)
Statt hier aber nun den Umweg über den Video Fake zu gehen startet in diesem Falle sofort der Download, nachdem man den Link angeklickt hat.
Diesmal nennt sich die Datei dann „VORNAME NACHNAME.exe“ und ist wie gesagt identisch mit der „video_NUMMER.exe“. Hier werden also mittlerweile zwei Wege genutzt um ein und denselben Trojaner auf Facebook zu verbreiten.

Doch nicht nur Facebook wird von diesem Trojaner beeinflusst.

Soweit wir erkennen konnten löst er auch Aktionen, also Tweets und ReTweets auf Twitter aus. Ebenfalls im Code zu finden sind Links zu YouTube Videos, einem Browserspiel auf Facebook und mindestens einer Seite eines Online Spiele Clans.

Wie schon gesagt können wir nicht alle Fähigkeiten dieses Trojaners analysieren, wir hoffen aber euch mit diesem Bericht aufzeigen zu können wie vielfältig solche Trojaner Angriffe von statten gehen können.

Diese Website zeigt euch welche Antivirensoftware den Trojaner aktuell erkennt: https://www.virustotal.com/file/97eae9ff254299b81ea9b38eec6a2921e511c01c0c7d644826a79ec3181fdcbf/analysis/

- Werbung -
An alle unsere Leserinnen und Leser! Wir brauchen deine Unterstützung! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben. Hier kannst Du unterstützen: via PayPal, Steady oderPatreon

Hinweis: Die Wiedergabe einzelner Bilder oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.

Weitere Themen

Kann der PCR-Test das Coronavirus gar nicht nachweisen? (Faktencheck)

Kann der PCR-Test das Coronavirus gar nicht nachweisen? (Faktencheck)

0
Der PCR-Test wird immer wieder diskutiert. Kann er das Virus gar nicht nachweisen? Jene Behauptung stammt nicht von irgendeinem Arzt, sondern von einer Virologin: Prof....
Fake-Profil: Ruediger Dahlke verlost kein Geld

Fake-Profil: Ruediger Dahlke verlost kein Geld

0
Vorsicht: Seit längerem versuchen Betrüger im Namen von Ruediger Dahlke an persönliche Daten sowie Kontoinformationen zu gelangen. Aktuell lockt eines dieser gefälschten Profile wieder auf...

Aktuelle Nachrichten aus dem In- und Ausland

Dieser Inhalt wurde von EURONEWS zur Verfügung gestellt.

„Maddie“ McCann: Staatsanwaltschaft hat Beweise für ihren Tod

0
Seit Mai 2007 ist das britische Mädchen verschwunden. Ein 43 Jahre alter Deutscher steht unter Mordverdacht und hatte möglicherweise einen Komplizen. Dieser Inhalt wurde von...
Dieser Inhalt wurde von der AFP zur Verfügung gestellt.

Liberale US-Verfassungsrichterin Ruth Bader Ginsburg ist tot

0
Die liberale Richterin am Obersten US-Gericht Ruth Bader Ginsberg ist tot. Vor dem Gerichtsgebäude in Washington versammelten sich hunderte Trauernde. US-Präsident Donald Trump würdigte ihre...

Shadowbanning – TikTok blockiert in einigen Regionen LGBTQ-Inhalte.

[Weiterlesen]

Top-Artikel

Kann der PCR-Test das Coronavirus gar nicht nachweisen? (Faktencheck)

Der PCR-Test wird immer wieder diskutiert. Kann er das Virus gar nicht nachweisen? Jene Behauptung stammt nicht von irgendeinem Arzt, sondern von einer Virologin: Prof....

Fake-Profil: Ruediger Dahlke verlost kein Geld

Vorsicht: Seit längerem versuchen Betrüger im Namen von Ruediger Dahlke an persönliche Daten sowie Kontoinformationen zu gelangen. Aktuell lockt eines dieser gefälschten Profile wieder auf...

Nein, das sind keine Jugendlichen aus Moria!

Auf Facebook wird suggeriert, ein Foto zeige Jugendliche und junge Erwachsene aus Moria. Anfang September brannte das Flüchtlingslager in Moria, seitdem wird darüber diskutiert, wo...

Globus-Markt verwehrt Kunden mit Attest zur Maskenbefreiung den Zutritt

Wir erhielten Anfragen zu einem Plakat, das besagt, dass man ausschließlich mit Maske in einem Globus-Markt einkaufen darf. Weiters kann man auf besagtem Plakat lesen,...

Faktencheck: Oliver Kahn „„Fangen gleich an zu heulen“

Aktuell kursiert ein angebliches Zitat des ehemaligen deutschen Fußballtorwarts Oliver Kahn. Es tummeln sich so einige Medienberichte rund um den ehemaligen deutschen Fußballtorwart Oliver Kahn....
-WERBUNG-
-WERBUNG-
Datenschutz
Wir, Mimikama-Verein zur Aufklärung über Internetmissbrauch (Vereinssitz: Österreich), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Wir, Mimikama-Verein zur Aufklärung über Internetmissbrauch (Vereinssitz: Österreich), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: