87432

Gefälschte Microsoft-Mails

26.08.2005 | 13:38 Uhr |

Ein Trojanisches Pferd gibt sich als Mittel gegen die Zotob-Würmer aus.

Mit einer bewährten Masche wird ein Trojanisches Pferd Spam-artig per Mail verbreitet. Die Mail gibt es als Mittel gegen den Zotob-Wurm und seine Varianten aus, die eine Sicherheitslücke in Windows ausnutzen. H+BEDV, Hersteller von Antivir warnt von falschen Microsoft-Mails, deren Anhang einen Schädling enthält.

Das von Antivir als " TR/Dldr.Small.23 " erkannte Trojanische Pferd wird in Mails verbreitet, die vorgeblich von "update@microsoft.com" kommen. Der Betreff lautet "What You Need to Know About the Zotob.A Worm". Der englische Text beginnt mit der Überschrift "What You Should Know About Zotob" und liefert einige Informationen im Stil der entsprechenden Microsoft-Seite.

Der Anhang "MS05-039.exe" wird darin als aktualisierte Version des Microsoft "Malicious Software Removal Tool" ausgegeben. Wird das nur 2,7 Kilobytes kleine Programm gestartet, kopiert es sich als "svchst.exe" in das Verzeichnis für temporäre Dateien. Dann lädt es einen weiteren Schädling aus dem Internet herunter und installiert ihn. Dieser wird von Antivir als "TR/Agent.DL.2" erkannt, von Panda als "Agent.AII".

Der Mail-Anhang wird bei Kaspersky und F-Secure als "Viran.c" geführt, bei Panda als " Downloader.EJD ". Bereit im Juni, also zwei Monate vor der Veröffentlichung des Microsoft Security Bulletins MS05-039, wurde in ähnlicher Weise ein Trojanisches Pferd verbreitet, das sich ebenfalls als Microsoft-Update MS05-039 ausgab. Der Mail-Wurm " W32/Swen " verwendet diese Taktik bereits seit September 2003 und passt das im Text seiner Mails angegebene Datum seitdem stets an.

Microsoft versendet nie Programme, seien es Updates oder spezielle Tools, unaufgefordert per Mail. In echten Mails von Microsoft gibt es stets nur einen Link zu einer Download-Seite auf der Microsoft-Website.

0 Kommentare zu diesem Artikel
87432