Malware Mail meldet Radioaktive Verseuchung in Kalifornien

Derzeit werden wieder Spamartig Malwaremails verbreitet die ueber einem angeblichen Atomunfall in Kalifornien berichten. Statt des versprochenen Unfallvideos schaufeln die enthaltenen Links jedoch Malware auf den PC neugieriger Anwender. Vermeintliche Katastrophenmeldungen sind seit Jahren ein bewaehrtes Mittel, um Malware unters Volk zu bringen. Bereits im Maerz gab es aehnliche Spam-Mails, allerdings wurde der Atomunfall damals aus der Schweiz gemeldet und die Mails gingen vorwiegend an Schweizer und Liechtensteiner Adressen. Bei der Kalifornienmail gehen die Mails aber diesmal unter anderem an .COM-Domains sowie andere Adressen, deren Besitzer typischerweise in den USA zu vermuten sind. Allerdings gibt es auch in Deutschland und anderen europaeischen Laendern etliche Nutzer von .COM, .NET- und .ORG-Domains.

Die Mails kommen mit einem Betreff wie "Possible radiation leaks on 100miles area around San Clemente Nucklear Power Station.", "Major Problems have been occured at San Clemente Nucklear Power Station." oder "Evacuation process has been started due to radiation leaks at San Clemente Nucklear Power Station." Sie enthalten einen Link auf eine von mehreren URLs, die letztlich alle eine Kopie derselben Malware-Datei herunter laden.

Diese Datei heißt "news_report-pdf-contentviewer.exe" und ist 44.032 Bytes groß. Die UPX-komprimierte Malware legt beim Aufrufen eine Datei "aspimgr.exe" im Verzeichnis \Windows\system32 an und registriert diese als automatisch startenden Dienst mit der Bezeichnung "Microsoft ASPI Manager". Diese legt eine weitere Datei namens "~ie2.exe" in \Windows\Temp\ an, fuehrt sie aus und loescht sie wieder.

Die Malware setzt Sicherheitseinstellungen des Internet Explorers herab und etabliert einen Proxy-Dienst auf dem befallenen PC, der zum Beispiel dazu dienen kann Spammails zu verbreiten.