Neue Angriffswelle auf Facebook-Nutzer

Nach einer Meldung des Antivirenherstellers G Data erhalten derzeit zahlreiche Facebook-Nutzer Nachrichten mit einer Bildvorschau und einem Link ohne jeden weiteren Kommentar. Doch aufgepasst: Wer das vorgebliche Bild herunterlädt, erhält eine Datei, die beispielsweise "DSC10274-JPG" heißen kann. Tatsächlich trägt die Datei jedoch die Endung .SCR. Nur wer im Windows-Explorer die Anzeige von Datei-Endungen aktiviert hat, sieht, worum es sich wirklich handelt.

Bei SCR-Dateien handelt es sich um Bildschirmschoner. Es sind ausführbare Programme, die sich technisch kaum von EXE-Dateien unterscheiden. In den Dateien fand G Data Schadcode, den der Virenscanner inzwischen als "Backdoor.Ircbot.ADKX" und "Win32:SdBot-HER [Trj]" identifiziert.

Wenn ein Nutzer das angebliche Bild öffnet, geschieht vordergründig erst mal gar nichts. Doch im Hintergrund greift das Schadprogramm über das IRC-Protokoll auf einen Chat-Room zu. Von dort folgt es den Anweisungen der Kriminellen und lädt beispielsweise weiteren Schadcode herunter. Ein Ziel des Schädlings sind auch die Kontakte des Opfers. Er verwendet die Adressen, um weitere Links zu versenden. Über die Erstellung einer "autorun.inf" kann er außerdem mobile Medien und USB-Sticks infizieren und sich darüber weiter verbreiten.

Laut einem Eintrag im G Data-Blog wurde der Schadcode seit Beginn der Kampagne schon mindestens einmal verändert und neu verpackt, um sich vor den Antivirenprogrammen zu verstecken. Ebenso wurde der Dateiname geändert.