Falscher YouTube Link enthält einen Trojaner

Vorsicht bei Statusmeldungen in denen Nutzer markiert wurden und einen vermeintlichen YouTube Link enthalten. Aktuell erreichen uns viele Anfragen zu einer Statusmeldung die ohne Zutun des Nutzers gepostet werden. In diesen Statusmeldungen werden die Freunde, des postenden Nutzers, markiert und dazu verleitet einen vermeintlichen YouTube Link zu klicken. Die Beschreibung des Links ist auf Türkisch verfasst und zeigt das YouTube Logo. 

So sieht der Statusbeitrag aus:

Wie man sehen kann ist dieser Link statt mit einem Punkt nach dem “www” mit drei Bindestrichen (—) geschrieben. Hier gehört also das “www” mit zum eigentlichen Domainnamen und stellt nicht die übliche Abkürzung für WorldWideWeb dar. Ein echter Link zur Videoplattform YouTube sollte immer mit “www.” beginnen, hier sollte man also schon misstrauisch werden.

Was passiert hier?

Folgen Nutzer diesem Link, so öffnet sich eine Seite die ebenfalls türkische Texte enthält und einen Videoplayer zeigt. Da wir selbst kein Türkisch verstehen können wir nicht genau sagen was dort auf der Seite steht. Wir nehmen aber an das dem Nutzer hier mitgeteilt wird er bräuchte eine neue Version des Flashplayers um das Video starten zu können.

Je nach verwendetem Browser wird, per eingebundenem Script, auch gleich der Download einer Datei gestartet. Bei unserem Test auf Google Chrome (Standard Einstellungen) wurden wir nicht gefragt ob wir dem Download zustimmen und die Datei war umgehend auf unserem Rechner.

Im Firefox hingegen wurden wir gefragt ob wir dem Download zustimmen. Wie man bei der Sicherheitsabfrage erkennen kann stammt die herunterzuladende Datei aus einem Dropboxkonto (Clouddienst) und NICHT von einem Server des eigentlichen Flashplayer Anbieters Adobe.

Nach erfolgtem Download befindet sich diese Datei auf dem Rechner:

Unsere Antivirensoftware hat sofort Alarm geschlagen, als wir die Datei „ausführen“ wollten:

Die Datei haben wir auch bei “virustotal” scannen lassen. Hier melden weitere 6 von 46 Antivirenlösungen einen Schädling.

• Comodo / Heur.Suspicious
• ESET-NOD32 / Win32/Packed.Autoit.H
• Kingsoft / Win32.Troj.Undef.(kcloud)
• Sophos / Mal/Generic-S
• TrendMicro-HouseCall / TROJ_GEN.F47V0416
• VBA32 / Trojan.Autoit.F

Reingefallen?

1) Die eigenen Freunde warnen damit sie nicht auf verdächtige Links klicken die eventuell gerade von eurem Account gepostet werden.

2) Betroffene sollten umgehend ihre Antivirensoftware aktualisieren und das System gründlich scannen lassen. Findet die eigene Software nichts dann lohnt sich eventuell der Download einer Testversion eines anderen Herstellers.
3) Zusätzlich zur normalen Antivirenlösung sollte das System noch mit den Tools “Malewarebytes” und “Spybot search & destroy” gescannt und bereinigt werden. (alle Programme sind in unserem Downloadbereich zu finden https://www.mimikama.org/allgemein/zddk-downloadbereich/).

4) Nach der Bereinigung unbedingt über das Aktivitätenprotokoll alle verdächtigen Aktionen des Accounts rückgängig machen. (https://www.facebook.com/me/allactivity)