13296

Vorgebliches Update von Microsoft

26.11.2007 | 17:44 Uhr |

Mit einem vorgeblichen "Windows Live Update" sollen Internet-Nutzer zum Download und zur Installation von Malware verführt werden.

Die verwendetet Masche ist weder neu noch sonderlich originell, wird jedoch immer wieder gerne genommen. In Spam-artig verbreiteten Mails mit einem Betreff wie "Microsoft Critical Live Update" werden die Empfänger auf ein vorgebliches Update von Microsoft hingewiesen. Die Mails enthalten einen direkten Download-Link auf eine 66 KB große EXE-Datei namens "update.exe". Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt.

Wird der Schädling herunter geladen und ausgeführt, legt er eine 11 KB große Programmbibliothek "mac.dll" sowie eine Datei namens "helper.xml" im System32-Verzeichnis von Windows ab. Eine zwischenzeitlich erzeugte Datei "C:\file.exe" wird gleich wieder gelöscht. Die DLL wird hingegen als Browser Helper Object (BHO) im Internet Explorer registriert. Damit kann der Schädling den Besuch von Web-Seiten protokollieren und eingegebene Passwörter ausspionieren.

Achtung : die Links in den Mails funktionieren noch, die Malware-Site ist noch erreichbar. Klicken Sie nicht auf die Links in derartigen Mails. Die Erkennung des Schädlings durch Antivirus-Programme ist bislang eher mäßig.

Antivirus

Malware-Name

AntiVir

TR/Dropper.Gen

Avast!

--

AVG

Generic9.XRS (Trojan horse)

A-Squared

--

Bitdefender

Trojan.Spy.Finanz.J

ClamAV

--

Command AV

--

Dr Web

--

eSafe

--

eTrust

--

Ewido

--

F-Prot

--

F-Secure

Trojan-Spy.Win32.Banker.ghd

Fortinet

suspicious

Ikarus

Trojan-Spy.Finanz.J

Kaspersky

Trojan-Spy.Win32.Banker.ghd

McAfee

New Win32 (virus or variant)

Microsoft

--

Nod32

--

Norman

--

Panda

--

QuickHeal

--

Rising AV

--

Sophos

--

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

VIPRE.Suspicious

Symantec

--

Trend Micro

TROJ_DROPPER.EWZ

VBA32

--

VirusBuster

TrojanSpy.Banker.NXN

WebWasher

Trojan.Dropper.Gen

G-Data AVK *

Trojan-Spy.Win32.Banker.ghd

* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

Quelle: AV-Test ( http://www.av-test.de ), Stand: 26.11.2007, 15 Uhr

0 Kommentare zu diesem Artikel
13296