104356

Falsches Microsoft-Update mit echtem Symantec-Tool

17.06.2009 | 15:34 Uhr |

Vorgeblich von Microsoft kommende Mails liefern ein angebliches Update für Windows XP und Vista, das gegen den Schädling Conficker helfen soll. Enthalten sind jedoch ein Fix-Tool von Symantec und ein Trojanisches Pferd.

Die Zeiten, in denen Malware-Spammer ihre Schädlinge per Mail unter dem Deckmantel eines vorgeblichen Microsoft-Update unters Volk zu bringen versuchen, sind noch nicht vorbei. Schon seit Jahren erfreut sich diese Masche einer gewissen Beliebtheit. Das neueste Beispiel ist eine Mail, die ein Gegenmittel für den Schädling "Conflicker" (eigentlich Conficker) bringen soll. Tatsächlich ist es ein Trojanisches Pferd, mit einem Symantec-Tool als Beigabe.

Gleich mehrere Antivirus-Hersteller berichten über diese Mails. Sie kommen laut Rossano Ferraris im CA Security Advisor Research Blog mit einem Betreff wie "Important Windows Xp/Vista Security Update!". Der Text behauptet, Microsoft habe mit Symantec ein Tool gegen "Conflicker" entwickelt, der angeblich auch unter dem Namen "Troj/Brisv.A" bekannt sei. Die Empfänger werden aufgefordert einen Link anzuklicken, um das Programm herunter zu laden.

Der Link führt zu einem russischen Server (windowsupdate.microsoft.com.ssl3.pop3.ru), wo es die Datei "remtool_conf.exe" gab (sie ist inzwischen entfernt worden). Wie es im Symantec Security Response Blog dazu heißt, enthält diese Datei tatsächlich das echte, digital signierte Removal-Tool von Symantec für den Schädling "Trojan.Brisv". Der hat allerdings nichts mit Conficker (Alias: Downadup, Kido) zu tun.

Wird das Programm ausgeführt, erscheint die Lizenzvereinbarung (EULA) von Symantec. Das Fix-Tool durchsucht dann die Festplatte nach dem Schädling Trojan.Brisv. Im Hintergrund wird jedoch noch eine zweite, in der Datei remtool_conf.exe enthaltene Programmdatei namens "webexplorer.exe" abgelegt und gestartet. Sie lädt einen weiteren Schädling mit dem Dateinamen "winupdate.exe" vom Server "makemymoneys.com" in den USA herunter.

Weder Microsoft noch Symantec oder ein anderer Antivirushersteller verschickt unaufgefordert Updates oder andere ausführbare Dateien per Mail. Legitime Mails solcher Unternehmen enthalten in aller Regel auch keine Links, die direkt auf EXE-Dateien zeigen - und schon gar nicht auf solche, die auf russischen (.ru) Servern liegen.

0 Kommentare zu diesem Artikel
104356