229748

Malware gibt sich als Microsoft-Update aus

20.10.2006 | 14:59 Uhr |

Eine Malware-Flut wie schon lange nicht mehr wird durch ein per Mail verbreitetes Trojanisches Pferd verursacht, das sich unter anderem auch als Patch-Programm von Microsoft tarnt.

Mehrere Antivirus-Hersteller melden eine Welle infektiöser Mails, die von Schädlingen aus der Familie "Stration/Warezov" verursacht wird. Ein per Mail verbreitetes Trojanisches Pferd lädt, wenn es ausgeführt wird, einen Wurm aus dem Internet nach.

Avira, Hersteller von AntiVir, hat innerhalb einiger Stunden mehrere tausend Exemplare abgefangen. Dabei sind die Dateianhänge keineswegs identisch - vielmehr sind mehrere Dutzend unterscheidbarer Varianten in Umlauf gebracht worden. Das Trojanische Pferd " TR/Dldr.Stration.C " wird von Botnets aus Spam-artig verbreitet. Es lädt neue Varianten des bereits bekannten Wurms " Worm/Stration.C " herunter.

Der finnische Antivirus-Hersteller F-Secure unterscheidet im Wesentlichen zwischen der gestern verbreiteten Variante " Warezov.dc " und dem heute aufgetauchten " Warezov.dg ".

Viele der verschickten Mails kommen mit einem Betreff, der eine Meldung des Mail-Administrators vortäuschen soll, zum Beispiel "Mail Server Report", "Mail Transaction Failed", "Status" oder "Error". Andere tragen einen völlig belanglosen und erstmal von Spam-Mails nicht zu unterscheidenden Betreff wie "Hello", "Picture" oder "Good day".

Der Dateiname des Anhangs ähnelt in einigen Fällen den Namen der Microsoft-Patches und lautet dann "Update-KB??????-x86.exe’ oder "Update-KB??????-x86.zip" (? - zufällige Ziffern). Andere Anhänge heißen zum Beispiel einfach "text.zip" und enthalten eine EXE-Datei mit doppelter Endung wie etwa "text.log.pif". Die ausgepackten Datei sind etwa 30 KB groß. Nach dem Start des Schädlings zeigt dieser eine Meldung "Update successfully installed." an.

Die folgende Tabelle zeigt die Namen der verschiedenen Antivirus-Programme für eine der gestern verbreiteten Varianten. Auf Grund der Vielzahl der versandten Varianten kann dies nur als informative Stichprobe angesehen werden.

Antivirus

Malware-Name

AntiVir

TR/Dldr.Stration.C

Avast!

Win32:Warezov-ME [Wrm]

AVG

I-Worm/Stration

BitDefender

---

ClamAV

---

Command AV

W32/Downloader.AHQM (exact)

Dr Web

Win32.HLLM.Limar.based

eSafe

Trojan/Worm [101] (suspicious)

eTrust-INO

Win32/Stration.GE!Worm

eTrust-VET

Win32/Stration!generic

Ewido

---

F-Prot

W32/Downloader.AHQM (exact)

F-Secure

Email-Worm.Win32.Warezov.dc

Fortinet

W32/Stration.DS@mm

Ikarus

Email-Worm.Win32.Warezov.dc

Kaspersky

Email-Worm.Win32.Warezov.dc

McAfee

W32/Stration.dr

Microsoft

---

Nod32

Win32/Stration.KG worm

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

W32/Stratio-AW

Symantec

W32.Stration.CX@mm

Trend Micro

TROJ_STRAT.DR

UNA

---

VBA32

---

Virusbuster

Trojan.Opnis.EM

Webwasher

Trojan.Dldr.Stration.C

Gdata AVK*

Email-Worm.Win32.Warezov.dc

Quelle: AV-Test , Stand: 20.10.06, 13:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
229748