Trojan.FBClicker: Fieser Sozial-Schädling

Der Trojaner FBClicker verbreitet sich derzeit vor allem über Facebook und den Windows Messenger. Er verändert die Startseite der infizierten Rechner, deaktiviert Schutzprogramme und versucht das Opfer per Klickbetrug neben den Daten auch um sein wohlverdientes Geld zu erleichtern.

Der Antivirushersteller Bitdefender warnt in seinem Blog Malware City vor einem Schädling namens "Trojan.FBClicker", der den Web-Browser manipuliert. Er kann auf den Rechner gelangen, wenn ein potenzielles Opfer auf einen "Gefällt mir"-Button in Facebook klickt und dabei auf vorbereitete Web-Seiten geleitet wird. Außerdem enthält er eine Wurmkomponente, die für eine Verbreitung via USB-Stick sorgt.

Ist Trojan.FBClicker an Bord gelangt, legt er nicht gleich los sondern wartet erstmal mindestens eine Stunde ab, um keinen Verdacht zu erregen. Er prüft zunächst, ob er in einer virtuellen Maschine läuft, um Malware-Forschern die Arbeit zu erschweren. Dann sucht er nach Schutzprogrammen wie Windows Defender und deinstalliert sie.

Der nächste Schritt heißt "Aufräumen": Trojan.FBClicker durchsucht die Festplatte nach Dateien mit Namen wie "ranga", "xanga" und "panga". Sie werden gelöscht und zugehörige Registry-Einträge entfernt. Die Dateien gehören zu älteren Versionen des Schädlings. Schließlich bohrt er noch ein Loch in die Windows Firewall und erstellt sich eine Ausnahmeregel, um ungehindert über das Internet mit seinem Mutterschiff kommunizieren zu können.

Erst dann geht er an seine eigentliche Aufgabe. Trojan.FBClicker ändert die Startseite und die bevorzugte Suchmaschine im Standard-Browser. Er ruft in Intervallen bestimmte Web-Seiten auf, wodurch die Täter Werbegelder erhalten. Welche Seiten in welchen Abständen aufzurufen sind, erfährt der Schädling von seinem Kommando-Server.

Dieser kann ihn auch anweisen, sich selbst zu löschen sowie Updates oder andere Malware herunter zu laden. Der MSN-Befehl veranlasst den FBClicker alle 23 Minuten, Links und Nachrichten an alle Kontakte im Windows Messenger zu versenden. Die Wurmkomponente infiziert alle angeschlossenen USB-Laufwerke, auf denen sie eine Datei "autorun.inf" und eine Kopie des Schädlings ablegt.

Lesen Sie mehr zum Thema

Weitere Artikel zu BitDefender GmbH

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Supply-Chain-Angriffe aufgedeckt

Kompromittierte Word-Dokumenten gegen Behörden eingesetzt

Jährlich 1,5 Billionen Dollar Beute

So hocheffizient sind die Taktiken der Cybercrime-Szene