79464

Falsches Microsoft-Update enthält ein Trojanisches Pferd

15.11.2007 | 15:55 Uhr |

Vorgeblich von Microsoft kommende Mails verbreiten Download-Links für ein Trojanisches Pferd, das als Sicherheits-Update für eine Schwachstelle im Kodak Image Viewer (MS07-055) ausgegeben wird.

Eine immer wieder beliebte Masche zur Verbreitung von Malware ist die Tarnung als wichtiges Update von Microsoft. Einen Tag nach dem November Patch Day ist den Versendern einer vorgeblichen Microsoft-Mail offenbar als guter Zeitpunkt erschienen, um ein manipuliertes Sicherheits-Update für eine tatsächlich bereits im Oktober behandelte Sicherheitslücke in Umlauf zu bringen.

Die Mails kommen mit einem Betreff wie "Microsoft Security Bulletin MS07-055 - Critical" oder auch in einer spanischen Version als "Boletín de seguridad de Microsoft MS07-055 – Crítico", von der Panda Security berichtet . Der HTML-formatierte Inhalt der Mails ist eine Kopie der entsprechenden Microsoft-Meldung zum Security Bulletin MS07-055 . Die Download-Links sind jedoch verändert und nutzen einen Web-basierten Proxy-Dienst, um die wirkliche Herkunft der aufgerufenen Seiten zu verbergen.

Diese Seiten sind täuschend echt den Download-Seiten von Microsoft nachempfunden. Die für verschiedene Windows-Versionen angebotenen Dateien sind alle identisch und heißen wie das Original "WindowsXP-KB923810-x86-ENU.exe". Sie sind etwa 1 MB groß und enthalten neben einem Trojanischen Pferd tatsächlich das echte Sicherheits-Update von Microsoft für die englische Version von Windows XP. Das derart manipulierte Update installiert eine Hintertür (Backdoor), über die Angreifer vom Internet aus Zugriff auf den PC erlangen können.

Erkennung des manipulierten Updates durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

TR/Drop.Agent.cqf

Avast!

---

AVG

Dropper.VB.KO (Trojan horse)

Bitdefender

---

ClamAV

---

Command AV

---

Dr Web

Trojan.MulDrop.9553

eSafe

Trojan/Worm [101] (suspicious)

eTrust

Win32/Afnb.A

Ewido

---

F-Prot

---

F-Secure

Trojan-Dropper.Win32.Agent.cqf

Fortinet

---

Ikarus

Trojan.Win32.VB.azd

Kaspersky

Trojan-Dropper.Win32.Agent.cqf

McAfee

--- (Generic Dropper.w)*

Microsoft

TrojanDropper:Win32/Agent

Nod32

Win32/TrojanDropper.Binder.NAB

Norman

---

Panda

--- (Bck/Bandok.BO)*

QuickHeal

---

Rising AV

---

Sophos

Troj/VBDrop-D

Sunbelt

Trojan-Dropper.Win32.Agent.cqf

Symantec

--- (Backdoor.Bandock.A)*

Trend Micro

TROJ_DROPPER.DCU

VBA32

---

VirusBuster

---

WebWasher

Trojan.Drop.Agent.cqf

A-Squared

---

Spybot S&D

Smitfraud-C.,,Executable

GData AVK 2007 **

Trojan-Dropper.Win32.Agent.cqf

Quelle: AV-Test ( http://www.av-test.de ), Stand: 15.11.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
79464