Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft.
Die Tarnung von Malware als vorgebliches Windows-Update ist zwar nicht sonderlich originell, wird aber immer wieder gern genommen. Virenforscher der Antivirus-Hersteller F-Secure und Trend Micro berichten in ihren den Blogs über ein aktuelles Beispiel.
Im Spam-artigen Mails mit dem Betreff "Warning! New Virus On The Internet! Update Now!" und der gefälschten Absenderangabe "update@microsoft.com" wird auf eine angebliche neue Update-Seite von Microsoft verwiesen, wo es alle Updates für Windows, Office und andere Microsoft-Produkte geben soll. Der Link führt auf eine EXE-Datei auf einem rumänischen Web-Server, die zurzeit immer noch erreichbar ist.
Diese Datei ist ein selbstentpackendes, komprimiertes Archiv, das insgesamt 13 Dateien enthält. Darunter sind fünf INI-Dateien, die offenkundig teilweise zur Steuerung von IRC-Verbindungen (Internet Relay Chat) dienen sollen. Ferner enthalten sind sechs EXE-Dateien, eine DLL- und eine COM-Datei. Vier der EXE-Dateien sowie die COM-Datei sind jedoch trotz ihrer Endung keine Programme sondern Textdateien, die Adressen von IRC-Servern sowie die Namen von IRC-Channels und Benutzern enthalten.
Die Erkennung der Dateien durch Antivirus-Software ist immer noch sehr lückenhaft. Die vorhandenen Befunde weisen darauf hin, dass die Dateien Bestandteile eines IRC-Flooders sind. Dabei handelt es sich um ein Programm, das IRC-Server mit einer großen Zahl von Verbindungen überflutet. So können bestimmte Server, Chat-Räume (IRC-Channels) oder Teilnehmer blockiert werden.
Microsoft versendet grundsätzlich keine Updates per Mail und auch keine direkten Download-Links. Wenn Sie eine Mail erhalten, die einen direkten Link auf eine ausführbare Datei (etwa eine EXE-Datei) enthält, ist dies mit hoher Wahrscheinlichkeit Malware. Das gilt auch dann, wenn die Mail scheinbar von einem bekannten Unternehmen oder einem Ihrer Kontakte kommt.
Erkennung durch AV-Software :
|
Antivirus
|
update.exe
|
|---|---|
|
|
|
|
AntiVir
|
BDS/Zapchast.BT
|
|
Avast!
|
Win32:Hidewnd [Trj]
|
|
HideWindow (Trojan horse)
|
|
|
Spyware.Adspace.DLL
|
|
|
ClamAV
|
Trojan.IRC.Flood.AQ
|
|
Command
|
-/-
|
|
Dr Web
|
Trojan.Flood.22016
|
|
eSafe
|
Win32.Polipos.sus
|
|
eTrust-INO
|
Win32/IRCFLood.6ra!Dropper
|
|
eTrust-VET
|
-/-
|
|
Ewido
|
-/-
|
|
F-Prot
|
virus dropper
|
|
Backdoor.IRC.Zapchast
|
|
|
Fortinet
|
Misc/MIRC
|
|
Ikarus
|
-/-
|
|
not-a-virus:RiskTool.Win32.HideWindows
|
|
|
HideWindow (potentially unwanted program)
|
|
|
Tool:Win32/HideWindows
|
|
|
Nod32
|
-/-
|
|
-/-
|
|
|
Trj/Multidropper.BLU
|
|
|
QuickHeal
|
-/-
|
|
Sophos
|
Troj/Zapchas-BT
|
|
-/-
|
|
|
Trend Micro
|
-/-
|
|
UNA
|
-/-
|
|
VBA32
|
BackDoor.IRC.based
|
|
VirusBuster
|
Trojan.DR.Flood.BM
|
|
WebWasher
|
Trojan.Zapchast.BT
|
Quelle:
AV-Test
, Stand: 27.07.06, 16:00 Uhr