Heute erhielt ich eine eMail mit folgendem Inhalt (auszugsweise):
From: The Editor <webmaster@websbiggest.net>
To: …
Subject: Please update xyz.de listing by Friday, April 25 in the Web’s Biggest directory. There is no charge.Could you please be so kind as to update the description of your website (xyz.de) in the Web’s Biggest directory by Monday so we can continue to list you, if you don’t mind? Updating your listing is absolutely free and stops further reminder emails.
Update your listing at: http://www.websbiggest.net/update.cfm?d=xyz.de
Your listing reads: …
Thanks,
The Editor
On October 5 2007 you asked us to remind you to update your listing from IP 84.176.161.12. To cancel reminders click unsubscribe or write: WebsBiggest, PO Box 7334 – 101591, San Francisco, CA 94120-7334 USA
Da es sich um eine Domain handelt (hier durch xyz.de ersetzt), die ich tatsächlich einst auch in internationalen Verzeichnissen eingetragen hatte, konnte die eMail stimmen. Allerdings ging der Aufruf des Direktlinks unter „update“ ins Leere. Nachdem ich dann auf die Startseite von websbiggest.net bin und mal die Suchfunktion nutzte, hagelte es plötzlich Warnungen meines Virenscanners nod32. Die Website versuchte – über eine andere Domain – eine exe-Datei auf meinem Rechner zu installieren. Das Blockieren durch nod32 half nichts, es wurde immer wieder versucht. Erst nachdem ich Firefox im Taskmanager kontrolliert abschoss, war Ruhe.
Zeit Modul Objekt Name Threat Aktion Nutzer Information
23.04.2008 12:05:18 IMON Datei http://golnanosat.com/adw_files/5104/7c202b0d/install.exe?id=1 möglicherweise eine Variante von Win32/Statik Anwendung
Das Protokoll ging zur Analyse an die Herstellerfirma meines Virenscanners. Im Moment gehe ich auf jeden Fall von einer realen Bedrohung aus und warne hiermit alle, die Seite von websbiggest.net anzusurfen. Ob die Bedrohung direkt von dort kommt oder jemand den Server gehackt hat, sei völlig dahingestellt.