39626

Falscher IE7 in falschen Microsoft-Mails mit winlogon.exe-Trojaner im Gepäck

30.03.2007 | 15:19 Uhr |

In vorgeblich von Microsoft stammenden Mails werden Links zu einem angeblichen Download des Internet Explorer 7 verbreitet. Diese Dateien enthalten jedoch keinen Browser sondern ein Trojanisches Pferd.

Spam-artig verbreitete Mails verbreiten seit gestern Links zu angeblichen Download-Seiten für den neuen Internet Explorer 7. Die Mails kommen mit einer gefälschten Absenderangabe wie "admin@microsoft.com" und einem Betreff wie "Internet Explorer 7 Downloads". Sie enthalten jede Menge Spam-typischen Textmüll, der nicht (oder lediglich in der Nur-Text-Ansicht) angezeigt wird sowie eine Referenz auf ein Bild im Internet.

Dieses Bild stellt zugleich auch einen Link zu dem Web-Server dar, von dem das Bild stammt. Es zeigt ein altes IE7-Beta-2-Logo. Der Link zeigt auf eine Datei "ie7.0.exe". Es gibt eine ganze Reihe unterschiedlicher Web-Server, auf denen diese Datei liegt (oder lag - einige sind inzwischen dicht) und die in Variationen der Spam-Mails verlinkt sind. Die Mails werden über dieselben Botnets verbreitet wie etliche Viagra-Spams. Die Web-Server sind mutmaßlich gehackte Websites.

Die EXE-Datei ist ein Trojanisches Pferd. Es kopiert sich als "winlogon.exe" in das TEMP-Verzeichnis und erstellt einen Run-Eintrag in der Registry, damit es beim Starten von Windows geladen wird. Es versteckt alle Dateien, die "winlogon.exe" heißen. Es installiert einen Spam-Proxy und verwandelt befallene PCs somit in Spam-Schleudern.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

TR/Proxy.Agent.CL

Avast!

---

AVG

---

Bitdefender

Win32.Grum.A

ClamAV

Trojan.Spy-3301

Command AV

W32/Grum.A (exact)

Dr Web

Win32.Grum

eSafe

---

eTrust

---

Ewido

---

F-Prot

---

F-Secure

Virus.Win32.Grum.a

Fortinet

W32/Grum.A

Ikarus

Virus.Win32.Grum.a

Kaspersky

Virus.Win32.Grum.a

McAfee

--- (W32/Grum)*

Microsoft

Trojan:Win32/Grum.A

Nod32

Win32/TrojanProxy.Skopa.B trojan

Norman

---

Panda

Suspicious file

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

W32/Grum-A

Symantec

--- (Trojan Horse)*

Trend Micro

--- (TROJ_GRUM.I)*

UNA

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Proxy.Agent.CL

GData AVK 2007 **

Virus.Win32.Grum.a


Quelle: AV-Test , Stand: 30.03.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

Fehlalarm bei Antivir: Winlogon.exe kein Trojaner (PC-WELT Online, 30.03.2007)

0 Kommentare zu diesem Artikel
39626