Ein bekanntes Schandprogramm, dass sich früher über MSN Messenger verbreitet hat wird nun über den Facebookchat Ihrer Freunde an Sie weitergegeben. Öffnen Sie auf keinen Fall diesen Link: „http://www.facebook.com/l.php?u=http://dejonk.de/f/“.

Verbreitungsweg

Dieses Schadprogramm hat sich früher über Messenger verbreitet, nun verbreitet es sich wohl über den Facebookchat infizierter Rechner.

Wenn Sie von einem Ihrer Freunde im Facebookchat folgende Nachricht erhalten

    Foto http://www.facebook.com/l.php?u=http://dejonk.de/f/

und den Link öffnen, kommen Sie erstmal auf folgende Seite, wo Sie eine Sicherheitsmeldung von Facebook erhalten.

Sobald Sie hier auf „Weiter“ gehen, kommen Sie auf eine gefakte Seite, die sich als Facebook ausgibt. Das nennt sich auch Phishing.

Beim Klick auf „View Photo“ wird eine Exe-Datei heruntergeladen die als JPG getarnt ist. Auf keinen Fall die Datei ausführen! Im Dateinamen „n11975310_09.JPG-www.facebook.exe“ ist schon ersichtlich, dass es kein Foto ist sondern eine ausführbare Exe-Datei.

Wird die Datei nun ausgeführt wird die Datei nvsvc32.exe nach „C:UsersPublic“ geschrieben und als Systemdatei versteckt. Es werden womöglich Einträge in der Hosts-Datei durchgefüht, was dazu führen kann, dass Sie keine Internetseiten mehr öffnen können, dass Sie auf Phishingwebsites weitergeleitet werden oder bestimmte Adware zu sehen bekommen.

Diese Datei ist in Original ein Teil des Nvidia Treibers. Befindet sich allerdings eine „nicht-Microsoft“ .exe Datei im Ordner „C:Windows“ oder „C:WindowsSystem32“, so ist die Wahrscheinlichkeit hoch, dass es sich um einen Virus oder Spyware handelt!

Als letzten Schritt öffnet sich noch die Myspace Seite, die wohl echt sein dürfte. Geben Sie trotzdem keinesfalls Ihre Benutzerdaten preis.

An dieser Stelle ist es möglich, dass der Schädling bereits installiert ist und in den Prozessen als nvsvc32.exe aktiv ist. Nun kann es sein, dass Ihre Facebook Freunde ebenfalls Chatnachrichten mit dem Inhalt „Foto http://www.facebook.com/l.php?u=http://dejonk.de/f/“ von Ihnen erhalten.

Auswirkung

Es könnte sich um den Trojaner TR/Dropper.Gen(2) handeln. Desweiteren könnte die Hosts-Datei im Verzeichnis „C:WindowsSystem32driversetc“ geändert werden.

Gegenmaßnahmen

  1. Löschen Sie die Datei „C:Users/Publicnvsvc32.exe“ händisch.
  2. Wenn sie mit Windows Defender eine Prüfung durchführen und auf eine Infizierung der Hosts-Datei hingewiesen werden, lässt sich die Hosts-Datei wieder reparieren.
  3. Prüfen Sie mit Antivir und lassen Sie einen möglichen TR/Dropper.Gen oder TR/Dropper.Gen2 löschen.

Inzwischen hat Facebook eine Gegenmaßname gestartet und die verlinkte Phishing-Site gesperrt.