Wir haben soeben die Info bekommen das heute sehr viele E-Mails, welche von Facebook stammten, bei vielen Nutzern angekommen sind. Die Mails wurden an jene E-Mailadressen versendet welche die Nutzer bei Facebook registriert haben. Das SPAM E-Mail informiert den Nutzer das er ungelesene Nachrichten auf Facebook hat! Alle in dem SPAM E-Mail befindlichen Links führen zu einer polnischen Druckerei, deren Internetauftritt gehackt wurde und im Upload-Bereich befindet sich eine Datei, welche zu den üblichen Angeboten potenzsteigernder Medikamente führt.

Der Betreff der Email lautet:

Hi, you have notifications pending

Ein weiterer Weg aus dem Upload-Verzeichnis führt über die Website eines deutschen Schäferhunde-Züchtervereins. Die Seite wird mit einem CMS (selbstwartende Webseite) betrieben und im Unterordner für die Stylesheets (CSS DATEI) wurde eine präparierte Datei untergebracht. Dem Browser wird der Fehler “302” mitgeteilt, der eine Verschiebung der gesuchten Datei ausweist.

Der Fehler 302 bedeutet:

302 – Moved Temporarily
Die angeforderten Daten wurden vorübergehend zu einem anderen URI verschoben. In der Statusmeldung wird angegeben, unter welcher Adresse sich die Daten derzeit befinden. Ein Web-Browser, der diese Antwort erhält, kann beispielsweise gleich die temporär gültige Adresse anfordern.

Danach führt der Weg über zwei weitere zufällig generierte URLs zu einer Seite mit einem umfangreichen JavaScript-Anteil. In bereits bekannter Manier ist der Code verschleiert und daher nicht mehr lesbar. Er enthält jedoch eine Animation, welche das gesamte Browserfenster einnimmt und eine Virenprüfung vorgaukelt.

Das Ergebnis ist “natürlich” alarmierend, der Rechner scheint gleich von mehreren Viren und Trojanern befallen.

Auf diese Weise soll der Nutzer zum Download von sogenannter Scareware animiert werden. Diese entfernt oder sabotiert bereits installierte Schutzprogramme auf dem Rechner und versendet Spam- und Schadsoftware