Falscher IE7 in falschen Microsoft-Mails mit winlogon.exe-Trojaner im Gepäck
In vorgeblich von Microsoft stammenden Mails werden Links zu einem angeblichen Download des Internet Explorer 7 verbreitet. Diese Dateien enthalten jedoch keinen Browser sondern ein Trojanisches Pferd.
Spam-artig verbreitete Mails verbreiten seit gestern Links zu angeblichen Download-Seiten für den neuen Internet Explorer 7. Die Mails kommen mit einer gefälschten Absenderangabe wie "admin@microsoft.com" und einem Betreff wie "Internet Explorer 7 Downloads". Sie enthalten jede Menge Spam-typischen Textmüll, der nicht (oder lediglich in der Nur-Text-Ansicht) angezeigt wird sowie eine Referenz auf ein Bild im Internet.
Dieses Bild stellt zugleich auch einen Link zu dem Web-Server dar, von dem das Bild stammt. Es zeigt ein altes IE7-Beta-2-Logo. Der Link zeigt auf eine Datei "ie7.0.exe". Es gibt eine ganze Reihe unterschiedlicher Web-Server, auf denen diese Datei liegt (oder lag - einige sind inzwischen dicht) und die in Variationen der Spam-Mails verlinkt sind. Die Mails werden über dieselben Botnets verbreitet wie etliche Viagra-Spams. Die Web-Server sind mutmaßlich gehackte Websites.
Die EXE-Datei ist ein Trojanisches Pferd. Es kopiert sich als "winlogon.exe" in das TEMP-Verzeichnis und erstellt einen Run-Eintrag in der Registry, damit es beim Starten von Windows geladen wird. Es versteckt alle Dateien, die "winlogon.exe" heißen. Es installiert einen Spam-Proxy und verwandelt befallene PCs somit in Spam-Schleudern.
Erkennung durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Proxy.Agent.CL |
| Avast! | --- |
| AVG | --- |
| Bitdefender | Win32.Grum.A |
| ClamAV | Trojan.Spy-3301 |
| Command AV | W32/Grum.A (exact) |
| Dr Web | Win32.Grum |
| eSafe | --- |
| eTrust | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Virus.Win32.Grum.a |
| Fortinet | W32/Grum.A |
| Ikarus | Virus.Win32.Grum.a |
| Kaspersky | Virus.Win32.Grum.a |
| McAfee | --- (W32/Grum)* |
| Microsoft | Trojan:Win32/Grum.A |
| Nod32 | Win32/TrojanProxy.Skopa.B trojan |
| Norman | --- |
| Panda | Suspicious file |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | W32/Grum-A |
| Symantec | --- (Trojan Horse)* |
| Trend Micro | --- (TROJ_GRUM.I)* |
| UNA | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Proxy.Agent.CL |
| GData AVK 2007 ** | Virus.Win32.Grum.a |
Quelle: AV-Test, Stand: 30.03.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
