Malware-Spam
Falsche MSN-Mails mit falschem Windows-Update
Spam-artig verbreitete Mails sind als MSN-Newsletter getarnt und sollen den Eindruck erwecken, ein kostenloses Update für Windows XP und Vista sei erhältlich. Tatsächlich jedoch führt der Download-Link zu einem Trojanischen Pferd.
Bereits mehrmals haben Malware-Spammer in den letzten Wochen Mails verbreitet, die den Anschein erwecken sollen, sie kämen von Microsofts Online-Dienst MSN. In dieser Woche gehen sie mit vorgeblichen Updates für Windows auf Bauernfang. Wer den Download-Link anklickt, lädt ein betrügerisches Antivirusprogramm auf seinen Rechner, das durch ständige Popup-Meldungen nervt.
Die Mails werden mit der Absenderangabe "Microsoft XP" oder "Antivirus XP" versandt, während die vorgetäuschte Absenderadresse die gleiche ist wie die Zieladresse. Der Betreff der Mails lautet "RE: ® Official Update 2008!". Den Mails fehlt zum Teil eine Angabe zum Absendedatum, sie werden über ein weltweit verteiltes Botnet verschickt.
Die erste, sehr groß formatierte Textzeile ist mit einem Link auf eine IP-Adresse unterlegt, die zu einem Provider in der moldawischen Hauptstadt Chisinau (Kischenau) gehört. Sie wird immer wieder in diesen Spam-Mails verwendet. Der aktuelle Link zeigt auf eine knapp 200 KB große Datei namens "install.exe".
Wer sie herunter lädt und ausführt, installiert kein Update für Windows sondern ein betrügerisches Antivirusprogramm namens "Antivirus XP 2008". Ferner wird eine manipulierte Version des bekannten "Bluescreen"-Bildschirmschoners von Microsoft Sysinternals installiert. Das Installationsprogramm deaktiviert dann die Möglichkeit den Bildschirmschoner selbst einzustellen. Die dadurch immer wieder erscheinenden Blue Screens (der bekannte blaue Textbildschirm bei einem schwerwiegenden Systemfehler) sollen den Anwender verunsichern.
Das falsche Antivirusprogramm macht immer wieder durch Popup-Meldungen über vorgeblich gefundene Schädlinge auf sich aufmerksam. Anwender sollen genötigt werden die ebenso teure wie nutzlose Vollversion des Programms zu kaufen.
Die Erkennung des schädlichen Installationsprogramms durch richtige Antivirus-Software mit aktuellen Updates ist bereits recht ordentlich, da die EXE-Datei auf dem Server nicht ständig verändert wird. Sie ist bereits zwei Tage alt.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Peed.jsb.33 |
| Avast! | --- |
| AVG | Downloader.Generic7.AIDZ (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.JSB |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.Packed.619 |
| Ewido | --- |
| Fortinet | W32/FakeAle.GD!tr |
| F-Prot | --- |
| F-Secure | Backdoor.Win32.Agent.qby |
| G-Data AVK | Backdoor.Win32.Agent.qby |
| Ikarus | Win32.SuspectCrc |
| K7 Computing | --- |
| Kaspersky | Backdoor.Win32.Agent.qby |
| McAfee | Downloader-ASH.gen.b (trojan) |
| Microsoft | Trojan:Win32/Tibs.HP |
| Nod32 | Win32/TrojanDownloader.FakeAlert.HJ trojan |
| Norman | W32/Tibs.CUJP |
| Panda | suspicious |
| QuickHeal | Backdoor.Agent.qby |
| Rising AV | --- |
| Sophos | Troj/FakeAle-GD |
| Spybot S&D | --- |
| Sunbelt | Antivirus XP 2008 (Winifixer) |
| Symantec | Trojan.Blusod |
| Trend Micro | TROJ_FAKEAV.GL |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Peed.jsb.33 |
Quelle: AV-Test (http://www.av-test.de), Stand: 27.08.2008, 12 Uhr
