197020

Botnet-Aufbau mit falschem Windows-Update

13.03.2006 | 16:18 Uhr |

Vorgebliche Microsoft-Mails locken Opfer mit einem angeblichen Sicherheits-Update in die Botnet-Falle.

Botnets sind die Basis für viele Betätigungsfelder von Online-Kriminellen. Der Bedarf an gekaperten und fremdgesteuerten PCs wächst ständig und so nutzen die Täter viele Wege, um neue Opfer zu rekrutieren. Alex Eckelberry, Chef von Sunbelt , berichtet in seinem Weblog über Mails, die vorgeblich von Microsoft stammen und einen Link zu einem angeblichen Sicherheits-Update enthalten.

Der Betreff der Mails lautet "New Microsoft Windows Update Security" und enthält einen Link namens "Microsoft Windows Security Update". Er führt auf eine gefälschte Windows-Update-Seite, die eine präparierte WMF-Datei lädt. Durch diese soll eine Sicherheitslücke in Windows ausgenutzt werden, um ein Trojanisches Pferd einzuschleusen.

Auch wer das Sicherheits-Update gegen diesen WMF-Exploit bereits installiert hat, jedoch auf den "Start"-Link auf der Seite klickt, erhält eine Datei "wusetup.exe" zum Download. Dabei handelt es sich um ein Installationsprogramm, das den Rechner zu einem Teil eines Botnets macht. Der PC kann nun ferngesteuert werden und versendet ohne Wissen des Besitzers zum Beispiel massenhaft Spam-Mails.

Das Installationsprogramm wird von einigen Virenscannern bereits erkannt, andere müssen noch nacharbeiten:

Antivirus

Malware-Name

AntiVir

TR/VB.aie.1

Avast!

-/-

AVG

-/-

BitDefender

-/-

ClamAV

-/-

Command AV

W32/Backdoor.HXN

Dr Web

BackDoor.Generic.1268

eTrust-INO

-/-

eTrust-VET

-/-

Ewido

Trojan.VB.aie

F-Prot

-/-

Fortinet

W32/VB.AIE!tr

Ikarus

Trojan.Win32.VB.AGH

Kaspersky

Trojan.Win32.VB.aie

McAfee

-/-

Nod32

-/-

Norman

W32/VBTroj.AI

Panda

Suspicious file

Sophos

-/-

Symantec

-/-

Stand: 12.03.06, 23:00 Uhr

0 Kommentare zu diesem Artikel
197020