Vorgebliches Microsoft-Update enthält IRC-Flooder
Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft.
Die Tarnung von Malware als vorgebliches Windows-Update ist zwar nicht sonderlich originell, wird aber immer wieder gern genommen. Virenforscher der Antivirus-Hersteller F-Secure und Trend Micro berichten in ihren den Blogs über ein aktuelles Beispiel.
Im Spam-artigen Mails mit dem Betreff "Warning! New Virus On The Internet! Update Now!" und der gefälschten Absenderangabe "update@microsoft.com" wird auf eine angebliche neue Update-Seite von Microsoft verwiesen, wo es alle Updates für Windows, Office und andere Microsoft-Produkte geben soll. Der Link führt auf eine EXE-Datei auf einem rumänischen Web-Server, die zurzeit immer noch erreichbar ist.
Diese Datei ist ein selbstentpackendes, komprimiertes Archiv, das insgesamt 13 Dateien enthält. Darunter sind fünf INI-Dateien, die offenkundig teilweise zur Steuerung von IRC-Verbindungen (Internet Relay Chat) dienen sollen. Ferner enthalten sind sechs EXE-Dateien, eine DLL- und eine COM-Datei. Vier der EXE-Dateien sowie die COM-Datei sind jedoch trotz ihrer Endung keine Programme sondern Textdateien, die Adressen von IRC-Servern sowie die Namen von IRC-Channels und Benutzern enthalten.
Die Erkennung der Dateien durch Antivirus-Software ist immer noch sehr lückenhaft. Die vorhandenen Befunde weisen darauf hin, dass die Dateien Bestandteile eines IRC-Flooders sind. Dabei handelt es sich um ein Programm, das IRC-Server mit einer großen Zahl von Verbindungen überflutet. So können bestimmte Server, Chat-Räume (IRC-Channels) oder Teilnehmer blockiert werden.
Microsoft versendet grundsätzlich keine Updates per Mail und auch keine direkten Download-Links. Wenn Sie eine Mail erhalten, die einen direkten Link auf eine ausführbare Datei (etwa eine EXE-Datei) enthält, ist dies mit hoher Wahrscheinlichkeit Malware. Das gilt auch dann, wenn die Mail scheinbar von einem bekannten Unternehmen oder einem Ihrer Kontakte kommt.
Erkennung durch AV-Software:
| Antivirus | update.exe |
|---|---|
| AntiVir | BDS/Zapchast.BT |
| Avast! | Win32:Hidewnd [Trj] |
| AVG | HideWindow (Trojan horse) |
| BitDefender | Spyware.Adspace.DLL |
| ClamAV | Trojan.IRC.Flood.AQ |
| Command | -/- |
| Dr Web | Trojan.Flood.22016 |
| eSafe | Win32.Polipos.sus |
| eTrust-INO | Win32/IRCFLood.6ra!Dropper |
| eTrust-VET | -/- |
| Ewido | -/- |
| F-Prot | virus dropper |
| F-Secure | Backdoor.IRC.Zapchast |
| Fortinet | Misc/MIRC |
| Ikarus | -/- |
| Kaspersky | not-a-virus:RiskTool.Win32.HideWindows |
| McAfee | HideWindow (potentially unwanted program) |
| Microsoft | Tool:Win32/HideWindows |
| Nod32 | -/- |
| Norman | -/- |
| Panda | Trj/Multidropper.BLU |
| QuickHeal | -/- |
| Sophos | Troj/Zapchas-BT |
| Symantec | -/- |
| Trend Micro | -/- |
| UNA | -/- |
| VBA32 | BackDoor.IRC.based |
| VirusBuster | Trojan.DR.Flood.BM |
| WebWasher | Trojan.Zapchast.BT |
Quelle: AV-Test, Stand: 27.07.06, 16:00 Uhr
