243070

Vorgebliches Microsoft-Update enthält IRC-Flooder

28.07.2006 | 08:38 Uhr |

Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft.

Die Tarnung von Malware als vorgebliches Windows-Update ist zwar nicht sonderlich originell, wird aber immer wieder gern genommen. Virenforscher der Antivirus-Hersteller F-Secure und Trend Micro berichten in ihren den Blogs über ein aktuelles Beispiel.

Im Spam-artigen Mails mit dem Betreff "Warning! New Virus On The Internet! Update Now!" und der gefälschten Absenderangabe "update@microsoft.com" wird auf eine angebliche neue Update-Seite von Microsoft verwiesen, wo es alle Updates für Windows, Office und andere Microsoft-Produkte geben soll. Der Link führt auf eine EXE-Datei auf einem rumänischen Web-Server, die zurzeit immer noch erreichbar ist.

Diese Datei ist ein selbstentpackendes, komprimiertes Archiv, das insgesamt 13 Dateien enthält. Darunter sind fünf INI-Dateien, die offenkundig teilweise zur Steuerung von IRC-Verbindungen (Internet Relay Chat) dienen sollen. Ferner enthalten sind sechs EXE-Dateien, eine DLL- und eine COM-Datei. Vier der EXE-Dateien sowie die COM-Datei sind jedoch trotz ihrer Endung keine Programme sondern Textdateien, die Adressen von IRC-Servern sowie die Namen von IRC-Channels und Benutzern enthalten.

Die Erkennung der Dateien durch Antivirus-Software ist immer noch sehr lückenhaft. Die vorhandenen Befunde weisen darauf hin, dass die Dateien Bestandteile eines IRC-Flooders sind. Dabei handelt es sich um ein Programm, das IRC-Server mit einer großen Zahl von Verbindungen überflutet. So können bestimmte Server, Chat-Räume (IRC-Channels) oder Teilnehmer blockiert werden.

Microsoft versendet grundsätzlich keine Updates per Mail und auch keine direkten Download-Links. Wenn Sie eine Mail erhalten, die einen direkten Link auf eine ausführbare Datei (etwa eine EXE-Datei) enthält, ist dies mit hoher Wahrscheinlichkeit Malware. Das gilt auch dann, wenn die Mail scheinbar von einem bekannten Unternehmen oder einem Ihrer Kontakte kommt.

Erkennung durch AV-Software :

Antivirus

update.exe

AntiVir

BDS/Zapchast.BT

Avast!

Win32:Hidewnd [Trj]

AVG

HideWindow (Trojan horse)

BitDefender

Spyware.Adspace.DLL

ClamAV

Trojan.IRC.Flood.AQ

Command

-/-

Dr Web

Trojan.Flood.22016

eSafe

Win32.Polipos.sus

eTrust-INO

Win32/IRCFLood.6ra!Dropper

eTrust-VET

-/-

Ewido

-/-

F-Prot

virus dropper

F-Secure

Backdoor.IRC.Zapchast

Fortinet

Misc/MIRC

Ikarus

-/-

Kaspersky

not-a-virus:RiskTool.Win32.HideWindows

McAfee

HideWindow (potentially unwanted program)

Microsoft

Tool:Win32/HideWindows

Nod32

-/-

Norman

-/-

Panda

Trj/Multidropper.BLU

QuickHeal

-/-

Sophos

Troj/Zapchas-BT

Symantec

-/-

Trend Micro

-/-

UNA

-/-

VBA32

BackDoor.IRC.based

VirusBuster

Trojan.DR.Flood.BM

WebWasher

Trojan.Zapchast.BT


Quelle: AV-Test , Stand: 27.07.06, 16:00 Uhr

0 Kommentare zu diesem Artikel
243070