Vorgebliches Windows-Update spioniert
Ein altbekannte Masche kommt einmal mehr zum Einsatz: Spam-artig verbreitete Mails, die vorgeblich von Microsoft kommen, verbreiten ein angebliches Update für Windows. Der Anhang der Mails enthält jedoch ein Trojanisches Pferd, das persönliche Daten ausspionieren soll.
Die Mails werden mit einem Betreff wie "Achtung! Wichtige Nachrichten von Microsoft Windows Update!" verschickt. Sie kommen aus Russland und benutzen die Adresse "msrobot_donotreply@windowsupdate.com" als gefälschte Absenderangabe. Der Text der Mails lautet:
"Sehr geehrte Benutzer Microsoft Windows XP!
Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung fängt das System instabil zu arbeiten, und der Komputer „hängt“ genau nach einer Minute nach dem nächsten Hochfahren.
Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere Sicherheitsspezialisten eine Erneuerung für das System entwickelt.
Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere Sicherheitsspezialisten eine Erneuerung für das System entwickelt.
Sie sollen die an den E-Mail angehängte Datei öffnen damit das System erneut wird und vollständig von neuem Wurm geschützt wird.
Mit freundlichen Grüßen,
Windows Update"
Windows Update"
Die Mails enthalten einen Anhang namens "md56.zip", in dem ein Programm "md56.exe" steckt. Wird dieses Programm gestartet, installiert es einen Form-Grabber. Dieser spioniert Zugangsdaten zum Online-Banking aus, die in Web-Formulare eingegeben werden. Zudem fügt der Schädling eigenen HTML-Code in die aufgerufene Seite ein. Dieser öffnet ein Popup-Fenster, das zur Eingabe weiterer Daten auffordert.
Grundsätzlich gilt die Regel: Microsoft verschickt niemals Updates als Anhang an Mails. Falls Ihr Rechner mit diesem Schädling verseucht ist, sollten Sie nach dessen Entfernung auf jeden Fall umgehend Ihre Passwörter ändern.
Erkennung durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.Harnig.BP.3 |
| Avast! | Win32:Trojano-P |
| AVG | Downloader.Generic2.AJR |
| BitDefender | Trojan.Banker.AFK |
| ClamAV | Trojan.Spy.Sinowal-25 |
| Command AV | W32/Backdoor.KRG |
| Dr Web | -/- |
| eSafe | Trojan/Worm [101] |
| eTrust-INO | -/- |
| eTrust-VET | Win32/Anserin.AP |
| Ewido | Trojan.Sinowal.u |
| F-Prot | W32/Backdoor.KRG |
| F-Secure | Trojan-PSW.Win32.Sinowal.u |
| Fortinet | W32/Sinowal.N!tr.pws |
| Ikarus | Trojan.Spy.Sinowal-25 |
| Kaspersky | Trojan-PSW.Win32.Sinowal.u |
| McAfee | -/- (Generic PWS.o trojan)* |
| Microsoft | TrojanSpy:Win32/Anserin.A |
| Nod32 | in32/TrojanDropper.Small.NEA |
| Norman | -/- |
| Panda | Suspicious file (Trj/Sinowal.AT)* |
| Quickheal | -/- |
| Sophos | Troj/Torpig-AX |
| Symantec | Trojan.Anserin |
| Trend Micro | TSPY_SINOWAL.BR |
| VBA32 | -/- |
| Virusbuster | -/- |
* noch nicht in offiziellen Updates enthalten
Quelle: AV-Test, Stand: 29.05.06, 14:00 Uhr
Quelle: AV-Test, Stand: 29.05.06, 14:00 Uhr
