Bitdefender warnt in seinem Blog Malware City vor einem Schädling" /> Auf der dunklen Seite des Social Networking - PC Magazin
Menü

Trojan.FBClicker Auf der dunklen Seite des Social Networking

Ein Schädling, der über Facebook und den Windows Messenger verbreitet wird, konfiguriert den Web-Browser um und schaltet Schutzprogramme aus. Er ändert die Startseite und öffnet verschiedene Web-Seiten, um mit Klick-Betrug Geld in die Kassen von Online-Kriminellen zu spülen.
Malware-Bedrohung © Weka
Malware-Bedrohung

Der Antivirushersteller Bitdefender warnt in seinem Blog Malware City vor einem Schädling namens "Trojan.FBClicker", der den Web-Browser manipuliert. Er kann auf den Rechner gelangen, wenn ein potenzielles Opfer auf einen "Gefällt mir"-Button in Facebook klickt und dabei auf vorbereitete Web-Seiten geleitet wird. Außerdem enthält er eine Wurmkomponente, die für eine Verbreitung via USB-Stick sorgt.

Ist Trojan.FBClicker an Bord gelangt, legt er nicht gleich los sondern wartet erstmal mindestens eine Stunde ab, um keinen Verdacht zu erregen. Er prüft zunächst, ob er in einer virtuellen Maschine läuft, um Malware-Forschern die Arbeit zu erschweren. Dann sucht er nach Schutzprogrammen wie Windows Defender und deinstalliert sie.

Der nächste Schritt heißt "Aufräumen": Trojan.FBClicker durchsucht die Festplatte nach Dateien mit Namen wie "ranga", "xanga" und "panga". Sie werden gelöscht und zugehörige Registry-Einträge entfernt. Die Dateien gehören zu älteren Versionen des Schädlings. Schließlich bohrt er noch ein Loch in die Windows Firewall und erstellt sich eine Ausnahmeregel, um ungehindert über das Internet mit seinem Mutterschiff kommunizieren zu können.

Erst dann geht er an seine eigentliche Aufgabe. Trojan.FBClicker ändert die Startseite und die bevorzugte Suchmaschine im Standard-Browser. Er ruft in Intervallen bestimmte Web-Seiten auf, wodurch die Täter Werbegelder erhalten. Welche Seiten in welchen Abständen aufzurufen sind, erfährt der Schädling von seinem Kommando-Server.

Dieser kann ihn auch anweisen, sich selbst zu löschen sowie Updates oder andere Malware herunter zu laden. Der MSN-Befehl veranlasst den FBClicker alle 23 Minuten, Links und Nachrichten an alle Kontakte im Windows Messenger zu versenden. Die Wurmkomponente infiziert alle angeschlossenen USB-Laufwerke, auf denen sie eine Datei "autorun.inf" und eine Kopie des Schädlings ablegt.

 
x