Malware
Falsches Microsoft-Update enthält ein Trojanisches Pferd
Vorgeblich von Microsoft kommende Mails verbreiten Download-Links für ein Trojanisches Pferd, das als Sicherheits-Update für eine Schwachstelle im Kodak Image Viewer (MS07-055) ausgegeben wird.
Eine immer wieder beliebte Masche zur Verbreitung von Malware ist die Tarnung als wichtiges Update von Microsoft. Einen Tag nach dem November Patch Day ist den Versendern einer vorgeblichen Microsoft-Mail offenbar als guter Zeitpunkt erschienen, um ein manipuliertes Sicherheits-Update für eine tatsächlich bereits im Oktober behandelte Sicherheitslücke in Umlauf zu bringen.
Die Mails kommen mit einem Betreff wie "Microsoft Security Bulletin MS07-055 - Critical" oder auch in einer spanischen Version als "Boletín de seguridad de Microsoft MS07-055 – Crítico", von der Panda Security berichtet. Der HTML-formatierte Inhalt der Mails ist eine Kopie der entsprechenden Microsoft-Meldung zum Security Bulletin MS07-055. Die Download-Links sind jedoch verändert und nutzen einen Web-basierten Proxy-Dienst, um die wirkliche Herkunft der aufgerufenen Seiten zu verbergen.
Diese Seiten sind täuschend echt den Download-Seiten von Microsoft nachempfunden. Die für verschiedene Windows-Versionen angebotenen Dateien sind alle identisch und heißen wie das Original "WindowsXP-KB923810-x86-ENU.exe". Sie sind etwa 1 MB groß und enthalten neben einem Trojanischen Pferd tatsächlich das echte Sicherheits-Update von Microsoft für die englische Version von Windows XP. Das derart manipulierte Update installiert eine Hintertür (Backdoor), über die Angreifer vom Internet aus Zugriff auf den PC erlangen können.
Erkennung des manipulierten Updates durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Drop.Agent.cqf |
| Avast! | --- |
| AVG | Dropper.VB.KO (Trojan horse) |
| Bitdefender | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.MulDrop.9553 |
| eSafe | Trojan/Worm [101] (suspicious) |
| eTrust | Win32/Afnb.A |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Trojan-Dropper.Win32.Agent.cqf |
| Fortinet | --- |
| Ikarus | Trojan.Win32.VB.azd |
| Kaspersky | Trojan-Dropper.Win32.Agent.cqf |
| McAfee | --- (Generic Dropper.w)* |
| Microsoft | TrojanDropper:Win32/Agent |
| Nod32 | Win32/TrojanDropper.Binder.NAB |
| Norman | --- |
| Panda | --- (Bck/Bandok.BO)* |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/VBDrop-D |
| Sunbelt | Trojan-Dropper.Win32.Agent.cqf |
| Symantec | --- (Backdoor.Bandock.A)* |
| Trend Micro | TROJ_DROPPER.DCU |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Drop.Agent.cqf |
| A-Squared | --- |
| Spybot S&D | Smitfraud-C.,,Executable |
| GData AVK 2007 ** | Trojan-Dropper.Win32.Agent.cqf |
Quelle: AV-Test (http://www.av-test.de), Stand: 15.11.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
