Botnet-Aufbau mit falschem Windows-Update
Vorgebliche Microsoft-Mails locken Opfer mit einem angeblichen Sicherheits-Update in die Botnet-Falle.
Botnets sind die Basis für viele Betätigungsfelder von Online-Kriminellen. Der Bedarf an gekaperten und fremdgesteuerten PCs wächst ständig und so nutzen die Täter viele Wege, um neue Opfer zu rekrutieren. Alex Eckelberry, Chef von Sunbelt, berichtet in seinem Weblog über Mails, die vorgeblich von Microsoft stammen und einen Link zu einem angeblichen Sicherheits-Update enthalten.
Der Betreff der Mails lautet "New Microsoft Windows Update Security" und enthält einen Link namens "Microsoft Windows Security Update". Er führt auf eine gefälschte Windows-Update-Seite, die eine präparierte WMF-Datei lädt. Durch diese soll eine Sicherheitslücke in Windows ausgenutzt werden, um ein Trojanisches Pferd einzuschleusen.
Auch wer das Sicherheits-Update gegen diesen WMF-Exploit bereits installiert hat, jedoch auf den "Start"-Link auf der Seite klickt, erhält eine Datei "wusetup.exe" zum Download. Dabei handelt es sich um ein Installationsprogramm, das den Rechner zu einem Teil eines Botnets macht. Der PC kann nun ferngesteuert werden und versendet ohne Wissen des Besitzers zum Beispiel massenhaft Spam-Mails.
Das Installationsprogramm wird von einigen Virenscannern bereits erkannt, andere müssen noch nacharbeiten:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/VB.aie.1 |
| Avast! | -/- |
| AVG | -/- |
| BitDefender | -/- |
| ClamAV | -/- |
| Command AV | W32/Backdoor.HXN |
| Dr Web | BackDoor.Generic.1268 |
| eTrust-INO | -/- |
| eTrust-VET | -/- |
| Ewido | Trojan.VB.aie |
| F-Prot | -/- |
| Fortinet | W32/VB.AIE!tr |
| Ikarus | Trojan.Win32.VB.AGH |
| Kaspersky | Trojan.Win32.VB.aie |
| McAfee | -/- |
| Nod32 | -/- |
| Norman | W32/VBTroj.AI |
| Panda | Suspicious file |
| Sophos | -/- |
| Symantec | -/- |
Stand: 12.03.06, 23:00 Uhr
