- Official Post
Liebe MSN-User und Interessierte,
von Asien schwappt in diesen Tagen eine neue Welle dieses fast lächerlich anmutenden Trojaners, oder besser "Informationen Stehler" http://www.photodropperz.com nach Europa und vermehrt nach Deutschland.
Mir selbst wurde der Link in den letzten Tagen bereits mehrfach per MSN Nachricht von Freunden zugesendet, doch ist dies nicht mit Absicht durch den User selbst geschehen, sondern ist das wieder einmal mehr ein Teil dieser perfiden Malware.
Dies geschieht wie folgt:
In MSN bekommst Du von einem Freund unvermeidlich und ohne Vorwarnung diesen Link durch eine persönliche Nachricht oder Mail zugesendet:
NO FUCKING WAY!! LOL WHAT HAVE YOU BEEN UP TO?!
http://deinMSNUsername.photodropperz.com
Klickt der User auf den Link öffnet sich eine im MSN Look gestaltete Login-Seite, bei der man sich mit seinen persönlichen MSN Daten, Username + Passwort, einloggen soll.
Alles scheint echt zu sein. Doch Vorsicht, nichts daran ist wirklich, und am allerwenigsten von MSN.
Um der Tatsache ins Auge zu sehen und dieses Problem hier an dieser Stelle realitätsgetreu zu beschreiben, habe ich mich also eingeloggt.
Nach erfolgreicher Eingabe von meiner MSN-Mail-Adresse und meinem Passwort wurde ich sofort auf eine Sexseite weitergeleitet.
Doch diese lächerliche Beigabe lenkt nur von den bösartigen Geschehnissen ab, die versteckt ablaufen, und den wahren Angriff kennzeichnen.
1. Username und Passowort ist futsch, d.h. im Besitz von Kriminellen, die damit tun und lassen können was immer sie wollen.
2. Es werden sofort Messages, also Nachrichten, in der gleichen Art wie die Message mit meinem Usernamen, nur jetzt mit dem Usernamen des angeschrieben Freundes an alle Kontakte der Person geschickt, die den Trojaner-Link geklickt zuvor hatte. In diesem Fall wurde der gleiche, nur jetzt auf meiner Freunde/Kontakte zugeschnittene, Link an meine Konatkte automatisiert versendet, die dann auch mit dem Problem zu kämpfen haben.
Dies kann ganz leicht im Nachrichtenverlauf überprüft werden, da Zeitstempel und Datum bei jeder ausgehenden Nachricht gesetzt werden.
3. Es wurde berichtet, daß bei einigen auf diese Weise infizierten Rechnern die MSN-Messenger begannen ein seltsames Eigenleben zu führen, wie ständiges Trennen und Wiederverbinden des Messengers (Connect-Disconnect...).
Lösung - Fehler-Behebung:
SOFORT nach dem Einloggen auf der infizierten Pseudo-MSN-Seite das eigene Passwort des grade benutzten MSN Accounts wechseln. - Bitte Sofort Tauschen -
Es scheint durch einen Test bewiesen worden zu sein, daß nicht der Messenger selbst infiziert ist, sondern einzig und allein der Messenger Account. Den bei diesem Test loggte sich die Person mit einem anderen Account als den infizierten auf dem gleichen befallenen Rechner ein und es wurden keine Links versendet.
Die Testperson ließ dann angeblich Rootkit Revealer laufen und fand folgendes Verzeichnis als Ursprung und Heimat des Schädlings:
(Dazu muss zuvor in Ordneroptionen das Anzeigen von versteckten Dateien und Ordnern erlaubt worden sein)
C:\Dokumente und Einstellungen\BenutzerXXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\email@host.com < Ordner
UserXXX und email@host.com variert natürlich je nach persönlicher Konfiguration.
Nach dem Löschen dieses Ordners sollte das Problem wieder beseitigt sein. Doch übernehme ich keine Gewähr für die Lösung oder nur irgendeiner hier dargestellten Handlungs -und Darstellungsweise.
Klickt einfach keine Links, deren Herkunft nicht eindeutig gesichert ist.
Hier noch weitere infizierte Seiten, die vom genauso gefährlich sind und das gleiche negative Verhalten hervorrufen wie http://www.photodropperz.com:
www .areyou-onthisphoto.com
www .dontstayin-pics.com
www .galleri-support.com
www .flicker-photoz.com
www .galleryshotz.com
www .greaterpics.com
www .flicker-pics.com