Falscher YouTube Link enthält einen Trojaner

Tom Wannenmacher, 18. April 2013

Vorsicht bei Statusmeldungen in denen Nutzer markiert wurden und einen vermeintlichen YouTube Link enthalten. Aktuell erreichen uns viele Anfragen zu einer Statusmeldung die ohne Zutun des Nutzers gepostet werden. In diesen Statusmeldungen werden die Freunde, des postenden Nutzers, markiert und dazu verleitet einen vermeintlichen YouTube Link zu klicken. Die Beschreibung des Links ist auf Türkisch verfasst und zeigt das YouTube Logo. 

So sieht der Statusbeitrag aus:

YouTube Link

Wie man sehen kann ist dieser Link statt mit einem Punkt nach dem “www” mit drei Bindestrichen (—) geschrieben. Hier gehört also das “www” mit zum eigentlichen Domainnamen und stellt nicht die übliche Abkürzung für WorldWideWeb dar. Ein echter Link zur Videoplattform YouTube sollte immer mit “www.” beginnen, hier sollte man also schon misstrauisch werden.

Was passiert hier?

Folgen Nutzer diesem Link, so öffnet sich eine Seite die ebenfalls türkische Texte enthält und einen Videoplayer zeigt. Da wir selbst kein Türkisch verstehen können wir nicht genau sagen was dort auf der Seite steht. Wir nehmen aber an das dem Nutzer hier mitgeteilt wird er bräuchte eine neue Version des Flashplayers um das Video starten zu können.

Je nach verwendetem Browser wird, per eingebundenem Script, auch gleich der Download einer Datei gestartet. Bei unserem Test auf Google Chrome (Standard Einstellungen) wurden wir nicht gefragt ob wir dem Download zustimmen und die Datei war umgehend auf unserem Rechner.

Screenshot_2

Im Firefox hingegen wurden wir gefragt ob wir dem Download zustimmen. Wie man bei der Sicherheitsabfrage erkennen kann stammt die herunterzuladende Datei aus einem Dropboxkonto (Clouddienst) und NICHT von einem Server des eigentlichen Flashplayer Anbieters Adobe.

Screenshot_1

Nach erfolgtem Download befindet sich diese Datei auf dem Rechner:

Unbenannt

Unsere Antivirensoftware hat sofort Alarm geschlagen, als wir die Datei „ausführen“ wollten:

Die Datei haben wir auch bei “virustotal” scannen lassen. Hier melden weitere 6 von 46 Antivirenlösungen einen Schädling.

  • Comodo / Heur.Suspicious
  • ESET-NOD32 / Win32/Packed.Autoit.H
  • Kingsoft / Win32.Troj.Undef.(kcloud)
  • Sophos / Mal/Generic-S
  • TrendMicro-HouseCall / TROJ_GEN.F47V0416
  • VBA32 / Trojan.Autoit.F

Reingefallen?

1) Die eigenen Freunde warnen damit sie nicht auf verdächtige Links klicken die eventuell gerade von eurem Account gepostet werden.

2) Betroffene sollten umgehend ihre Antivirensoftware aktualisieren und das System gründlich scannen lassen. Findet die eigene Software nichts dann lohnt sich eventuell der Download einer Testversion eines anderen Herstellers.
3) Zusätzlich zur normalen Antivirenlösung sollte das System noch mit den Tools “Malewarebytes” und “Spybot search & destroy” gescannt und bereinigt werden. (alle Programme sind in unserem Downloadbereich zu finden https://www.mimikama.at/allgemein/zddk-downloadbereich/).

4) Nach der Bereinigung unbedingt über das Aktivitätenprotokoll alle verdächtigen Aktionen des Accounts rückgängig machen. (https://www.facebook.com/me/allactivity)


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

weitere mimikama-Artikel