245494

Trojanisches Pferd tarnt sich als Windows Update

14.02.2005 | 12:31 Uhr |

Mit einem Betreff wie "Microsoft Update" werden nicht nur Spam-Mails verschickt, die illegale Kopien von Microsoft-Produkten zu Niedrigpreisen anbieten.

Mit einem Betreff wie "Microsoft Update" werden nicht nur Spam-Mails verschickt, die illegale Kopien von Microsoft-Produkten zu Niedrigpreisen anbieten. Auch Trojanische Pferde werden auf diese Weise unters Volk gebracht. Der Mail-Text gibt an, mit dem Programm im Anhang könne man seinen PC überprüfen und die neuesten Updates für Windows herunter laden. Die nur wenig mehr als 4 KB große Mail transportiert eine kaum 2 KB kleine ZIP-Datei mit Namen "update.zip", die eine Datei "update.exe" (4 KB) enthält.
Dabei handelt es sich laut Kaspersky um "Trojan-Downloader.Win32.Small.ajx", F-Prot erkennt "W32/Vidlo.K@dl". Das Programm dient dazu, ein weiteres Trojanisches Pferd (7 KB) von einem Web-Server herunter zu laden. Dieses wird von Kaspersky als "Trojan.Win32.Qhost.ba" erkannt (F-Prot: "W32/Banker.VM"). Dieser Schädling manipuliert die Datei "hosts", in der feste Zuordnungen von Server-Namen zu IP-Adressen gespeichert werden können. Diese Datei liegt je nach Windows-Version an unterschiedlichen Stellen:

Windows NT/2000/XP Pro \winnt\system32\drivers\etc\hosts
Windows XP Home \windows\system32\drivers\etc\hosts
Windows 95/98/Me \windows\hosts.sam

Er leitet auf dieses Weise Zugriffe auf Ebay-Server und Online-Banking-Seiten der Postbank, der Berliner Bank und der Deutschen Bank auf Server in Colorado und Florida um. So können die Betreiber der gefälschten Web-Server die Login-Daten von Benutzern abfangen und für ihre Zwecke missbrauchen. Es handelt sich hierbei also um einen Phishing-Angriff. Die Empfehlung lautet daher immer wieder: Öffnen Sie keine Mail-Anhänge, die Ihnen unaufgefordert zugeschickt werden - auch wenn Ihr Virenscanner keinen Alarm schlägt.

Mehr Informationen zu der neuen Phishing-Methode, die Hosts-Dateien ändert, finden Sie in diesem Artikel " Phishing - Next Generation ".

Security-Newsletter

Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen.

0 Kommentare zu diesem Artikel
245494