Backdoor, Trojan auf Facebook

Ein bekanntes Schandprogramm, dass sich früher über MSN Messenger verbreitet hat wird nun über den Facebookchat Ihrer Freunde an Sie weitergegeben. Öffnen Sie auf keinen Fall diesen Link: „http://www.facebook.com/l.php?u=http://dejonk.de/f/“.

Verbreitungsweg

Dieses Schadprogramm hat sich früher über Messenger verbreitet, nun verbreitet es sich wohl über den Facebookchat infizierter Rechner.

Wenn Sie von einem Ihrer Freunde im Facebookchat folgende Nachricht erhalten

    Foto http://www.facebook.com/l.php?u=http://dejonk.de/f/

und den Link öffnen, kommen Sie erstmal auf folgende Seite, wo Sie eine Sicherheitsmeldung von Facebook erhalten.

Sobald Sie hier auf „Weiter“ gehen, kommen Sie auf eine gefakte Seite, die sich als Facebook ausgibt. Das nennt sich auch Phishing.

Beim Klick auf „View Photo“ wird eine Exe-Datei heruntergeladen die als JPG getarnt ist. Auf keinen Fall die Datei ausführen! Im Dateinamen „n11975310_09.JPG-www.facebook.exe“ ist schon ersichtlich, dass es kein Foto ist sondern eine ausführbare Exe-Datei.

Wird die Datei nun ausgeführt wird die Datei nvsvc32.exe nach „C:UsersPublic“ geschrieben und als Systemdatei versteckt. Es werden womöglich Einträge in der Hosts-Datei durchgefüht, was dazu führen kann, dass Sie keine Internetseiten mehr öffnen können, dass Sie auf Phishingwebsites weitergeleitet werden oder bestimmte Adware zu sehen bekommen.

Diese Datei ist in Original ein Teil des Nvidia Treibers. Befindet sich allerdings eine „nicht-Microsoft“ .exe Datei im Ordner „C:Windows“ oder „C:WindowsSystem32“, so ist die Wahrscheinlichkeit hoch, dass es sich um einen Virus oder Spyware handelt!

Als letzten Schritt öffnet sich noch die Myspace Seite, die wohl echt sein dürfte. Geben Sie trotzdem keinesfalls Ihre Benutzerdaten preis.

An dieser Stelle ist es möglich, dass der Schädling bereits installiert ist und in den Prozessen als nvsvc32.exe aktiv ist. Nun kann es sein, dass Ihre Facebook Freunde ebenfalls Chatnachrichten mit dem Inhalt „Foto http://www.facebook.com/l.php?u=http://dejonk.de/f/“ von Ihnen erhalten.

Auswirkung

Es könnte sich um den Trojaner TR/Dropper.Gen(2) handeln. Desweiteren könnte die Hosts-Datei im Verzeichnis „C:WindowsSystem32driversetc“ geändert werden.

Gegenmaßnahmen

  1. Löschen Sie die Datei „C:Users/Publicnvsvc32.exe“ händisch.
  2. Wenn sie mit Windows Defender eine Prüfung durchführen und auf eine Infizierung der Hosts-Datei hingewiesen werden, lässt sich die Hosts-Datei wieder reparieren.
  3. Prüfen Sie mit Antivir und lassen Sie einen möglichen TR/Dropper.Gen oder TR/Dropper.Gen2 löschen.

Inzwischen hat Facebook eine Gegenmaßname gestartet und die verlinkte Phishing-Site gesperrt.

Sei sozial und teile

Über den Autor Andreas Grundner

Ich bin Wordpress, Joomla, Typo3 Integrator, Unix Rootserver Administrator und Webanwendungsprogrammierer. Mittlerweile habe ich über 70 Webprojekte weitgehend selbstständig mit enger Kundenabsprache realisiert. Ich bin auf One Page Websites auf Wordpress-Basis spezialisiert, biete aber auch Suchmaschinenoptimierung (SEO), Blogs, Facebook, Youtube und Google+ Seiten an. Meine Verpflichtung gilt dem Datenschutz, meine Leidenschaft dem Finden und Aufzeigen von Sicherheitslücken in Webanwendungen.

4 Reaktionen zu Backdoor, Trojan auf Facebook

  1. Dennis
    12.08.2014 at 10:28 · Antworten

    Hallo,

    vielen Dank für diese Info. Gibt es hier keine Teil-Buttons? Hab das ganze jetzt manuell auf Facebook geteilt.

    Gruß

  2. admin
    21.01.2011 at 09:38 · Antworten

    Achtung!
    Das selbe Skript ist erneut im Umlauf.
    Diesmal lautet die Nachricht:

    „Foto :D:D „.

    Es dürfte sich um genau das selbe Skript mit genau der selben Verbreitungstechnik handeln. Diesmal lautet allerdings der Link zu der schadhaften .exe Datei anders:
    „http://fusiontechad.com/images/index.html?=1614550491“

    Es wird wohl nur eine Frage der Zeit sein, bis Facebook diese externe Seite sperrt.

  3. admin
    13.01.2011 at 19:56 · Antworten

    Weitere Nachforschungen haben ergeben, dass kein Zusammenhang zwischen nvsvc32.exe und TR/Dropper.Gen(2) besteht. Trotzdem sind die Auswirkingen beider nicht ungefährlich und sollten entfernt werden.

Meinung sagen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.