131858

Falsche MSN-Mails mit falschem Windows-Update

27.08.2008 | 15:03 Uhr |

Spam-artig verbreitete Mails sind als MSN-Newsletter getarnt und sollen den Eindruck erwecken, ein kostenloses Update für Windows XP und Vista sei erhältlich. Tatsächlich jedoch führt der Download-Link zu einem Trojanischen Pferd.

Bereits mehrmals haben Malware-Spammer in den letzten Wochen Mails verbreitet, die den Anschein erwecken sollen, sie kämen von Microsofts Online-Dienst MSN. In dieser Woche gehen sie mit vorgeblichen Updates für Windows auf Bauernfang. Wer den Download-Link anklickt, lädt ein betrügerisches Antivirusprogramm auf seinen Rechner, das durch ständige Popup-Meldungen nervt.

Die Mails werden mit der Absenderangabe "Microsoft XP" oder "Antivirus XP" versandt, während die vorgetäuschte Absenderadresse die gleiche ist wie die Zieladresse. Der Betreff der Mails lautet "RE: ® Official Update 2008!". Den Mails fehlt zum Teil eine Angabe zum Absendedatum, sie werden über ein weltweit verteiltes Botnet verschickt.

Die erste, sehr groß formatierte Textzeile ist mit einem Link auf eine IP-Adresse unterlegt, die zu einem Provider in der moldawischen Hauptstadt Chisinau (Kischenau) gehört. Sie wird immer wieder in diesen Spam-Mails verwendet. Der aktuelle Link zeigt auf eine knapp 200 KB große Datei namens "install.exe".

Wer sie herunter lädt und ausführt, installiert kein Update für Windows sondern ein betrügerisches Antivirusprogramm namens "Antivirus XP 2008". Ferner wird eine manipulierte Version des bekannten "Bluescreen"-Bildschirmschoners von Microsoft Sysinternals installiert. Das Installationsprogramm deaktiviert dann die Möglichkeit den Bildschirmschoner selbst einzustellen. Die dadurch immer wieder erscheinenden Blue Screens (der bekannte blaue Textbildschirm bei einem schwerwiegenden Systemfehler) sollen den Anwender verunsichern.

Das falsche Antivirusprogramm macht immer wieder durch Popup-Meldungen über vorgeblich gefundene Schädlinge auf sich aufmerksam. Anwender sollen genötigt werden die ebenso teure wie nutzlose Vollversion des Programms zu kaufen.

Die Erkennung des schädlichen Installationsprogramms durch richtige Antivirus-Software mit aktuellen Updates ist bereits recht ordentlich, da die EXE-Datei auf dem Server nicht ständig verändert wird. Sie ist bereits zwei Tage alt.

Antivirus

Malware-Name

AntiVir

TR/Peed.jsb.33

Avast!

---

AVG

Downloader.Generic7.AIDZ (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Peed.JSB

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.619

Ewido

---

Fortinet

W32/FakeAle.GD!tr

F-Prot

---

F-Secure

Backdoor.Win32.Agent.qby

G-Data AVK

Backdoor.Win32.Agent.qby

Ikarus

Win32.SuspectCrc

K7 Computing

---

Kaspersky

Backdoor.Win32.Agent.qby

McAfee

Downloader-ASH.gen.b (trojan)

Microsoft

Trojan:Win32/Tibs.HP

Nod32

Win32/TrojanDownloader.FakeAlert.HJ trojan

Norman

W32/Tibs.CUJP

Panda

suspicious

QuickHeal

Backdoor.Agent.qby

Rising AV

---

Sophos

Troj/FakeAle-GD

Spybot S&D

---

Sunbelt

Antivirus XP 2008 (Winifixer)

Symantec

Trojan.Blusod

Trend Micro

TROJ_FAKEAV.GL

VBA32

---

VirusBuster

---

WebWasher

Trojan.Peed.jsb.33

Quelle: AV-Test ( http://www.av-test.de ), Stand: 27.08.2008, 12 Uhr

0 Kommentare zu diesem Artikel
131858