168550

Falsches Microsoft-Update per Mail

14.10.2008 | 15:45 Uhr |

Noch kurz vor dem heutigen Patch-Dienstag haben Malware-Spammer versucht ein vorgebliches Sicherheits-Update von Microsoft per Mail unters Volk zu bringen. Die Mails sind sogar mit einer PGP-Signatur garniert, um Authentizität vorzutäuschen.

Gefälschte Microsoft-Mails mit vorgeblichen Updates im Anhang sind kein ganz neues Phänomen - es gibt sie seit Jahren. Kurz vor dem heutigen Patch Day haben Malware-Spammer eine solche Mail in Umlauf gebracht. Sie gibt vor von Microsofts Steve Lipner zu stammen und trägt eine vorgebliche PGP-Signatur, um die Echtheit zu unterstreichen. Im Anhang befindet sich jedoch Malware.

Die Mails tragen einen Betreff wie "Security Update for OS Microsoft Windows" sowie die gefälschte Absenderangabe "securityassurance(at)microsoft.com". Im Text heißt es, Microsoft habe ein Sicherheits-Update für Windows heraus gegeben, namentlich auch für Windows 98 und "Windows Millenium". Man habe sich entschlossen eine experimentelle, nicht-öffentliche Version des Updates zu versenden. Dies geschehe, weil eine Veröffentlichung auf der offiziellen Microsoft-Website zur Erstelllung schädlicher Software führen würde.

Der Text fordert außerdem dazu auf den Anhang auszuführen und den Anweisungen zu folgen, die auf dem Bildschirm erscheinen würden. Der Anhang ist etwa 32 KB groß und trägt einen Dateinamen nach dem Muster "KB???????.exe", wobei die Fragezeichen für beliebige Ziffern stehen, also zum Beispiel "KB312567.exe".

Es handelt sich dabei um ein Trojanisches Pferd aus der Familie Haxdoor/Goldun. Es öffnet mehrere TCP-Ports für den Zugriff aus dem Internet und installiert ein Rootkit zu seiner Tarnung. Es trägt sich mehrfach in die Registry ein, damit es bei jedem Windows-Start geladen wird - selbst im Abgesicherten Modus. Außerdem lädt es eine Datei mit HTML-Code herunter, die es benutzt, um Banken-Websites nachzuahmen und so Zugangsdaten zu erhalten.

In diesem Fall warnt sogar Microsoft selbst ausführlich vor diesen Mails - sowohl im Blog des Security Response Center (MSRC) als auch im Blog des Malware Protection Center (MMPC). Die Microsoft-Blogger betonen, dass Microsoft niemals Updates per Mail verschickt. Außerdem versende Microsoft seine Update-Benachrichtigungen stets als reine Text-Mails, nie mit HTML-Formatierungen (wie die gefälschte). Auch die Existenz eines PGP-Signatur-Blocks in der Mail sei allein kein Echtheitsbeweis, erforderlich sei vielmehr die Verifizierung mit Hilfe des öffentlichen PGP-Schlüssels des MSRC .

0 Kommentare zu diesem Artikel
168550