„Wow, jetzt kannst Du sehen, wer sich Dein Profil anschaut“ – ein Facebook-Wurm

Ralf Salecker

Klicken Sie nicht auf jeden LINK!

Facebook-Wurm
Facebook-Wurm

Diese einfache Regel wird von vielen missachtet.

Bekommen Sie auch andauernd Nachrichten von „Freunden“ auf Facebook, die Sie auf eine Facebook-Veranstaltung nach dem Motto hinweisen „Wow, jetzt kannst Du sehen, wer sich Dein Profil anschaut“? Nun können Sie angeblich sehen, wer Ihr Facebook-Profil besucht hat. Diese viel gewünschte Funktion – Standard bei vielen anderen Netzwerken – gibt es beim sozialen Netzwerk Facebook nicht. Jeder möchte gerne wissen, wer sich wann und wie oft auf dem eigenen Profil tummelt.

Genau aus diesem Grunde fallen auch so viele auf die Nachricht der Freunde herein. Wer misstraut schon seinen „Freunden“?

Dummerweise verbirgt sich hinter dieser Spam-Nachricht ein Wurm, kurz „Wow“ genannt, also eine Schadsoftware. Rasend schnell verbreitet sich „Wow“ in der Facebook-Gemeinde. Aus ein paar Spams wird eine Spam-Welle, ja möglicherweise sogar ein Spam-Tsunami. Mehr als 650.000 Facebook-Nutzer sollen dem Wurm schon zum Opfer gefallen sein.

Klickt man nun auf den LINK der Nachricht, erfolgt im selben Moment die Infektion durch den Wurm „Wow“ über eine Java-Script-Funktion. Die meisten nutzen Java-Script, weil es einen angenehmen Komfort auf vielen Seiten bringen kann. Alle Adressen aus der Kontaktliste werden automatisch angeschrieben. Ihre „Freunde“ bekommen die schöne Nachricht: „Wow, jetzt kannst Du sehen, wer sich Dein Profil anschaut“. Da sie ein Freund schickt … werden Sie der Einladung zu einer Veranstaltung möglicherweise folgen, sich den Eintrag auf der Pinnwand, oder ein Bild anschauen, auf dem Sie oder Ihre Freunde angeblich markiert sind, anschauen. Die Variationen sind vielfältig.

Der eigentliche Schaden durch den Wurm hält sich in erträglichen Grenzen. Er fällt einem höchstens auf die Nerven. Trotzdem ist er ein Zeichen, wie anfällig das soziale Netzwerk Facebook für Infektionen ist und wie leichtgläubig seine Nutzer sind. Er ist auch nicht der einzige seiner Art.

Ein vergleichbare Nachricht weist darauf hin, „Chuck Norris kann sehen wer auf deinem Profil war“. Auch hier klicken viele auf den LINK – und schon ist es geschehen …

Anderen Formen von viralen Angriffen hat es schon vorher gegeben. In Zukunft werden sie eher zunehmen. Die Grundeinstellungen von Facebook machen es den Angreifern leicht. Gleiches gilt für das Verhalten der Nutzer selbst. Wer kaum auf die Sicherheit seiner persönlichen Daten achtet, der wird sich kaum Gedanken um die Sicherheit des Systems machen.

Am stärksten betroffen sind die Nutzer, die es sich zur Aufgabe gemacht haben, möglichst viele Freunde zu gewinnen. Unzählige nervige Angebote und Anfragen überschwemmen dann den Nachrichteneingang und müllen die Pinnwand zu.

Facebook zeigt, wie schon vorher, kein gesteigertes Interesse, für mehr Sicherheit zu sorgen. Es lebt ja von der Sorglosigkeit seiner Nutzer. Schließlich will Facebook ungehindert mit den Nutzerdaten arbeiten können. Das hat eben seinen Preis. Somit wird das System durch durch systemeigene Mechanismen gefährdet – die jetzt noch in die Kategorie Spaß zu rechnen sind. Dieser Spaß kann aber durchaus ein Testballon für zukünftige Angriffe sein.

Seine Namen sind Legion …

Der Facebook-Wurm soll möglicherweise ein Trojaner mit dem Namen: TR/Kazy.mekml.1 sein.

Eine Überprüfung des eigenen Computers mit der gängigen Antiviren-Software würde bei einem Befall den Trojaner „TR/Kazy.mekml.1“ melden. Er verbreitet sich ausschließlich passiv.

Andere Viren-Tester haben – selbstverständlich – dem Kind einen eigenen Namen verpasst. Es wäre ja zu einfach, sich auf eine Bezeichnung zu einigen.

  • Kaspersky: Trojan.Win32.Pakes.oya
  • Sophos: Mal/FakeAV-IK
  • Bitdefender: Gen:Variant.Kazy.18407
  • Grisoft: Generic22.YJ
  • Eset: Win32/Kryptik.MLF
  • DrWeb: Trojan.Fakealert.20587

Die genauere Beschreibung von AntiVir lautet:

  • Name: TR/Kazy.mekml.1
  • Entdeckt am: 13/04/2011
  • Art: Trojan
  • In freier Wildbahn: Nein
  • Gemeldete Infektionen: Niedrig
  • Verbreitungspotenzial: Niedrig
  • Schadenspotenzial: Niedrig
  • Statische Datei: Ja
  • Dateigröße: 475.136 Bytes
  • MD5 Prüfsumme: 01fb5950dabe777ef528d16295fba021
  • VDF Version: 7.11.06.99 – Mittwoch, 13. April 2011
  • IVDF Version: 7.11.06.99 – Mittwoch, 13. April 2011

Was kann der Trojaner TR/Kazy.mekml.1 auf dem Computer anrichten?

Einen echten Schaden ruft er „erst einmal“ nicht hervor. Auf manchen Computern scheint er Dateien „verschwinden“ zu lassen. Glücklicherweise sind diese nur unsichtbar, können also wieder sichtbar gemacht werden.

Wenn das Verzeichnis noch sichtbar ist geht dies einfach über den Klick mit der rechten Maustaste und dann „Eigenschaften“ aufrufen. Den gesamten Inhalt des Verzeichnis wieder sichtbar machen, indem das passende Häkchen gesetzt wird.

Oder:

Unsichtbare Ordner/Inhalte sichtbar machen:

Explorer öffnen: z. B. Windows-Taste + E oder mit der rechten Maustaste auf Start klicken und den Explorer auswählen

Menüpunkt Extras: Ordneroptionen auswählen

Reiter Ansicht anklicken: Versteckte Dateien und Ordner: Alle Dateien und Ordner anzeigen

Bei Bedarf den Knopf „Für alle übernehmen“ betätigen

Alternativ können Freeware-Programme dies auch übernehmen.

Was muss ich tun, wenn mein Computer Opfer des Trojaners „TR/Kazy.mekml.1“ wurde?

Für die Überprüfung des eigenen Computers muss das Antivirenprogramm und/oder ein anderes Programm, welches unerwünschte „Besucher“ entdeckt (z. B. Spybot oder AdAware) einmal einen Komplett-Check durchführen. Bei einem Fund den Anweisungen des Programms folgen. Eine sichere Entfernung des Trojaners ist nicht in jedem Fall gewährleistet.

Wurm-Kur für Facebook

Erst einmal sollte die lästige Nachricht von der Pinnwand oder dem Nachrichteneingang entfernt werden. Das geht ganz einfach mit einem Klick auf das kleine blaue Kreuz, rechts neben der Nachricht.

Überprüfen Sie auf Ihrem Profil, unter „Anwendungen und Webseiten“ und „Bearbeiten der Einstellungen“, welche Anwendungen in Gebrauch sind. Entfernen Sie alles, was nicht wirklich nötig ist.

Überprüfen Sie auf Ihrem Profil, unter „Profil bearbeiten“ und den Punkten „Aktivitäten und Interessen“ und „Andere Seiten anzeigen“, um zu sehen, ob der Wurm sich irgendwo in Ihrem Profilinfo eingetragen hat. Einfach bearbeiten anwählen und bei „Andere Seiten anzeigen“ alles entfernen, was Sie nicht bewusst eingetragen haben.

Fan-Seiten und Apps könnten Rechte eingeräumt sein, um auf Ihre Pinnwand zuzugreifen. Diese sollten Sie gegebenenfalls ändern, wenn Sie nicht ständig die gleichen Einträge vorfinden wollen. Hier hat es Facebook dem Anwender besonders schwer gemacht, eine Korrektur vorzunehmen.

 

Die Browser-Erweiterung für Firefox NoScript

Der große Vorteil des Browsers Firefox liegt in seiner enormen Erweiterbarkeit. Plugins bringen ihm schnell neue Fähigkeiten bei. Die Erweiterung NoScript blockiert erst einmal alle JavaScript-Funktionen der besuchten Webseite. Damit sind erst einmal einige Funktionen nicht mehr verfügbar. Auf manche kann getrost verzichtet werden, ohne an Komfort einzubüßen, andere dagegen sollen weiter ihren Dienst tun. Kein Problem. Einfach mit der rechten Maustaste in die besuchte Seite klicken. Schon werden alle JavaScript-Funktionen angezeigt. Überraschend viele sind auf manchen Seiten aktiv. Die gewünschte anschalten und schon kann alles problemlos seinen Gang gehen.

 

Grundsätzliches für Facebook

  • Niemals unüberlegt auf jeden LINK klicken. Im Zweifel vor beim Absender nachfragen. Das gilt gleichermaßen für E-Mails.
  • Wenn überhaupt, dann nur die „notwendigsten“ Apps nutzen. Manche Schadsoftware bekommt darüber einen leichten Zugang zur „Freude-Liste“. Diese wird in Ihrem Namen angeschrieben, mit allerlei „verlockenden“ Hinweisen.
  • Wurden Sie Opfer des Wurms, dann informieren Sie Ihre „Freunde“ darüber, entweder über eine direkte Nachricht oder ein Status-Update.

About Ralf Salecker

Ralf Salecker, freier Fotograf und Journalist (www.salecker.info)
See all posts by Ralf Salecker