Thema: Gefälschte Microsoft-Mails

[SiLæncer]

Es werden Mails Spam-artig verbreitet, deren Betreff und Text ein Microsoft Security Bulletin vortäuscht. Der Antivirus-Hersteller F-Secure berichtet über gefälschte Microsoft-Mails, deren Text vorgibt das Bulletin "MS05-039" zu enthalten und die inhaltliche Gestaltung der Originale von Microsoft nachahmt.

Vorgeblich soll der am Ende der Mail enthaltene Link zu einem Sicherheits-Update führen. Dieses soll laut Mail-Text gegen mehrere Würmer helfen. Tatsächlich zeigt der Link direkt auf den Download einer ausführbaren Datei. Nach Angaben von Websense enthält die Datei ein Trojanisches Pferd aus der "Sdbot"-Familie, das seinem Herrn und Meister die Fernsteuerung des befallenen Rechners ermöglicht. Allerdings erhält, wer unvorsichtig auf den Link klickt, nur die Meldung, die Website habe ihr Download-Kontingent bereits überschritten.

Bei den echten Mitteilungen von Microsoft, die nur erhält, wer sie auch abonniert hat, führt ein Link stets erst auf eine Download-Seite und löst nicht direkt den Download aus. Außerdem sind die Mails und Updates von Microsoft digital signiert. Ein Security Bulletin mit dem Namen "MS05-039" gibt es zudem noch nicht. Das letzte offizielle Bulletin trägt den Namen "MS05-034" und ist vom 14. Juni dieses Jahres.

Bereits der seit September 2003 bekannte Mail-Wurm " Swen " gibt sich als Microsoft-Update aus. Er passt beim Versenden seiner Mails den Monat und das Jahr dem aktuellen Datum an und bleibt so stets scheinbar aktuell.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/114935/index.html

[SiLæncer]

Mit einer bewährten Masche wird ein Trojanisches Pferd Spam-artig per Mail verbreitet. Die Mail gibt es als Mittel gegen den Zotob-Wurm und seine Varianten aus, die eine Sicherheitslücke in Windows ausnutzen. H+BEDV, Hersteller von Antivir warnt von falschen Microsoft-Mails, deren Anhang einen Schädling enthält.

Das von Antivir als " TR/Dldr.Small.23 " erkannte Trojanische Pferd wird in Mails verbreitet, die vorgeblich von "update@microsoft.com" kommen. Der Betreff lautet "What You Need to Know About the Zotob.A Worm". Der englische Text beginnt mit der Überschrift "What You Should Know About Zotob" und liefert einige Informationen im Stil der entsprechenden Microsoft-Seite.

Der Anhang "MS05-039.exe" wird darin als aktualisierte Version des Microsoft "Malicious Software Removal Tool" ausgegeben. Wird das nur 2,7 Kilobytes kleine Programm gestartet, kopiert es sich als "svchst.exe" in das Verzeichnis für temporäre Dateien. Dann lädt es einen weiteren Schädling aus dem Internet herunter und installiert ihn. Dieser wird von Antivir als "TR/Agent.DL.2" erkannt, von Panda als "Agent.AII".

Der Mail-Anhang wird bei Kaspersky und F-Secure als "Viran.c" geführt, bei Panda als " Downloader.EJD ". Bereit im Juni, also zwei Monate vor der Veröffentlichung des Microsoft Security Bulletins MS05-039, wurde in ähnlicher Weise ein Trojanisches Pferd verbreitet, das sich ebenfalls als Microsoft-Update MS05-039 ausgab. Der Mail-Wurm " W32/Swen " verwendet diese Taktik bereits seit September 2003 und passt das im Text seiner Mails angegebene Datum seitdem stets an.

Microsoft versendet nie Programme, seien es Updates oder spezielle Tools, unaufgefordert per Mail. In echten Mails von Microsoft gibt es stets nur einen Link zu einer Download-Seite auf der Microsoft-Website.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/118676/index.html

[Jürgen]

Dieses "Software Removal Tool" ist also, wie der Name sagt, wirklich "Malicious"
Seltsame Ironie...

Microsoft kennt meine E-Mail-Adresse(n) überhaupt nicht.
Genausowenig wie meine Bank  
Und das ist gut so  

Also kann sowas immer ungeprüft in die "Ablage rund"  

[SiLæncer]

Vorgeblich von Microsoft stammende Mails verweisen auf eine EXE-Datei, die einen Keylogger installiert.

Eine schon mehrfach benutzte Methode, um Malware zu verbreiten, ist die Tarnung als Sicherheits-Update für Windows. Der zeitliche Zusammenhang des jüngsten Beispiels mit dem Microsoft Patch Day wird wohl kein Zufall sein.

Mit dem Betreff "Critical security update available" und dem vorgetäuschten Absender <security.updates@microsoft.com> werden Spam-artig Mails verbreitet, die einen Link auf ein angebliches Sicherheits-Update von Microsoft enthalten. Der Mail-Text gibt allerdings den Inhalt des Security Bulletins MS05-039 vom 9. August wieder.

Die Mail enthält, im Gegensatz zu echten Microsoft-Mails, einen direkten Download-Link für eine EXE-Datei. Diese trägt den gleichen Namen wie das echte Update ("Windows-KB899588-x86-ENU.exe") und ist 114.583 Bytes groß. Die Datei liegt auf einem Rechner in Kanada - auch noch während dieser Artikel geschrieben wurde.

Wird das Programm ausgeführt, verhält es sich scheinbar wie ein echtes Microsoft-Update. Es zeigt eine Setup-Routine einschließlich Lizenz-Zustimmung an. Im Verzeichnis C:\WINDOWS\system\dump wird eine Datei "svchost.exe" angelegt und über einen Registry-Eintrag bei jedem Windows-Start geladen. Eine Kopie dieser Datei wird im Verzeichnis C:\windows\system\ als "ist2.exe" abgelegt.

Dabei handelt es sich um einen recht primitiven Keylogger. Dieser protokolliert alle Tastatureingaben in einer Datei namens "windowskj.log" im Verzeichnis C:\WINDOWS\system\, die er versucht per FTP auf einen Server eines hawaiianischen Providers zu übertragen. Die dabei verwendete Kombination aus Benutzername und Passwort funktioniert jedoch nicht (mehr) - vermutlich hat der Provider den Zugang bereits gesperrt.

Microsoft versendet Mitteilungen über Security Bulletins grundsätzlich nur an Personen, die solche Mails abonniert haben. Die Mails von Microsoft enthalten keine ausführbaren Anhänge und auch keine direkten Links auf ausführbare Dateien. Wenn Sie auf Ihrem PC eine Datei "svchost.exe" finden sowie laufende Prozesse, die zu dieser Datei gehören, ist das völlig normal. Die zu Windows 2000 und XP gehörende Datei dieses Namens befindet sich allerdings im System32-Verzeichnis.

Quelle und Links : http://www.pcwelt.de/news/software/127486/index.html

[SiLæncer]

Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft.

Die Tarnung von Malware als vorgebliches Windows-Update ist zwar nicht sonderlich originell, wird aber immer wieder gern genommen. Virenforscher der Antivirus-Hersteller F-Secure und Trend Micro berichten in ihren den Blogs über ein aktuelles Beispiel.

Im Spam-artigen Mails mit dem Betreff "Warning! New Virus On The Internet! Update Now!" und der gefälschten Absenderangabe "update@microsoft.com" wird auf eine angebliche neue Update-Seite von Microsoft verwiesen, wo es alle Updates für Windows, Office und andere Microsoft-Produkte geben soll. Der Link führt auf eine EXE-Datei auf einem rumänischen Web-Server, die zurzeit immer noch erreichbar ist.

Diese Datei ist ein selbstentpackendes, komprimiertes Archiv, das insgesamt 13 Dateien enthält. Darunter sind fünf INI-Dateien, die offenkundig teilweise zur Steuerung von IRC-Verbindungen (Internet Relay Chat) dienen sollen. Ferner enthalten sind sechs EXE-Dateien, eine DLL- und eine COM-Datei. Vier der EXE-Dateien sowie die COM-Datei sind jedoch trotz ihrer Endung keine Programme sondern Textdateien, die Adressen von IRC-Servern sowie die Namen von IRC-Channels und Benutzern enthalten.

Die Erkennung der Dateien durch Antivirus-Software ist immer noch sehr lückenhaft. Die vorhandenen Befunde weisen darauf hin, dass die Dateien Bestandteile eines IRC-Flooders sind. Dabei handelt es sich um ein Programm, das IRC-Server mit einer großen Zahl von Verbindungen überflutet. So können bestimmte Server, Chat-Räume (IRC-Channels) oder Teilnehmer blockiert werden.

Microsoft versendet grundsätzlich keine Updates per Mail und auch keine direkten Download-Links. Wenn Sie eine Mail erhalten, die einen direkten Link auf eine ausführbare Datei (etwa eine EXE-Datei) enthält, ist dies mit hoher Wahrscheinlichkeit Malware. Das gilt auch dann, wenn die Mail scheinbar von einem bekannten Unternehmen oder einem Ihrer Kontakte kommt.

Quelle : www.pcwelt.de

[SiLæncer]

Eine Malware-Flut wie schon lange nicht mehr wird durch ein per Mail verbreitetes Trojanisches Pferd verursacht, das sich unter anderem auch als Patch-Programm von Microsoft tarnt.

Mehrere Antivirus-Hersteller melden eine Welle infektiöser Mails, die von Schädlingen aus der Familie "Stration/Warezov" verursacht wird. Ein per Mail verbreitetes Trojanisches Pferd lädt, wenn es ausgeführt wird, einen Wurm aus dem Internet nach.

Avira, Hersteller von AntiVir, hat innerhalb einiger Stunden mehrere tausend Exemplare abgefangen. Dabei sind die Dateianhänge keineswegs identisch - vielmehr sind mehrere Dutzend unterscheidbarer Varianten in Umlauf gebracht worden. Das Trojanische Pferd " TR/Dldr.Stration.C " wird von Botnets aus Spam-artig verbreitet. Es lädt neue Varianten des bereits bekannten Wurms " Worm/Stration.C " herunter.

Der finnische Antivirus-Hersteller F-Secure unterscheidet im Wesentlichen zwischen der gestern verbreiteten Variante " Warezov.dc " und dem heute aufgetauchten " Warezov.dg ".

Viele der verschickten Mails kommen mit einem Betreff, der eine Meldung des Mail-Administrators vortäuschen soll, zum Beispiel "Mail Server Report", "Mail Transaction Failed", "Status" oder "Error". Andere tragen einen völlig belanglosen und erstmal von Spam-Mails nicht zu unterscheidenden Betreff wie "Hello", "Picture" oder "Good day".

Der Dateiname des Anhangs ähnelt in einigen Fällen den Namen der Microsoft-Patches und lautet dann "Update-KB???-x86.exe’ oder "Update-KB???-x86.zip" (? - zufällige Ziffern). Andere Anhänge heißen zum Beispiel einfach "text.zip" und enthalten eine EXE-Datei mit doppelter Endung wie etwa "text.log.pif". Die ausgepackten Datei sind etwa 30 KB groß. Nach dem Start des Schädlings zeigt dieser eine Meldung "Update successfully installed." an.

Quelle : www.pcwelt.de

[SiLæncer]

Vorgeblich von Microsoft kommende Mails verbreiten Download-Links für ein Trojanisches Pferd, das als Sicherheits-Update für eine Schwachstelle im Kodak Image Viewer (MS07-055) ausgegeben wird.

Eine immer wieder beliebte Masche zur Verbreitung von Malware ist die Tarnung als wichtiges Update von Microsoft. Einen Tag nach dem November Patch Day ist den Versendern einer vorgeblichen Microsoft-Mail offenbar als guter Zeitpunkt erschienen, um ein manipuliertes Sicherheits-Update für eine tatsächlich bereits im Oktober behandelte Sicherheitslücke in Umlauf zu bringen.

Die Mails kommen mit einem Betreff wie "Microsoft Security Bulletin MS07-055 - Critical" oder auch in einer spanischen Version als "Boletín de seguridad de Microsoft MS07-055 – Crítico", von der Panda Security berichtet. Der HTML-formatierte Inhalt der Mails ist eine Kopie der entsprechenden Microsoft-Meldung zum Security Bulletin MS07-055. Die Download-Links sind jedoch verändert und nutzen einen Web-basierten Proxy-Dienst, um die wirkliche Herkunft der aufgerufenen Seiten zu verbergen.
Diese Seiten sind täuschend echt den Download-Seiten von Microsoft nachempfunden. Die für verschiedene Windows-Versionen angebotenen Dateien sind alle identisch und heißen wie das Original "WindowsXP-KB923810-x86-ENU.exe". Sie sind etwa 1 MB groß und enthalten neben einem Trojanischen Pferd tatsächlich das echte Sicherheits-Update von Microsoft für die englische Version von Windows XP. Das derart manipulierte Update installiert eine Hintertür (Backdoor), über die Angreifer vom Internet aus Zugriff auf den PC erlangen können.

Quelle : www.pcwelt.de

[SiLæncer]

Mit einem vorgeblichen "Windows Live Update" sollen Internet-Nutzer zum Download und zur Installation von Malware verführt werden.

 Die verwendetet Masche ist weder neu noch sonderlich originell, wird jedoch immer wieder gerne genommen. In Spam-artig verbreiteten Mails mit einem Betreff wie "Microsoft Critical Live Update" werden die Empfänger auf ein vorgebliches Update von Microsoft hingewiesen. Die Mails enthalten einen direkten Download-Link auf eine 66 KB große EXE-Datei namens "update.exe". Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt.

Wird der Schädling herunter geladen und ausgeführt, legt er eine 11 KB große Programmbibliothek "mac.dll" sowie eine Datei namens "helper.xml" im System32-Verzeichnis von Windows ab. Eine zwischenzeitlich erzeugte Datei "C:\file.exe" wird gleich wieder gelöscht. Die DLL wird hingegen als Browser Helper Object (BHO) im Internet Explorer registriert. Damit kann der Schädling den Besuch von Web-Seiten protokollieren und eingegebene Passwörter ausspionieren.
Achtung: die Links in den Mails funktionieren noch, die Malware-Site ist noch erreichbar. Klicken Sie nicht auf die Links in derartigen Mails. Die Erkennung des Schädlings durch Antivirus-Programme ist bislang eher mäßig.

Quelle : www.pcwelt.de