Eine Warnung vor einem nicht existierenden Virus verwies auf ein nachgeahmte McAfee-Seite.
Eine per Mail versandte falsche Virenwarnung ("Hoax") sollte deren Empfänger auf eine gefälschte Website locken, die vorgeblich zu dem Antivirus-Hersteller McAfee gehört. Gewarnt wurde vor einem nicht existierenden Virus namens "Kongos.31XRW.Worm", der am 31. Dezember Betriebssystem und BIOS befallener PCs unwiederbringlich löschen soll. Außerdem soll er persönliche Daten ausspionieren, namentlich Kreditkartennummern, Passwörter und Bankdaten.
Mail-Text (auszugsweise):
"Attention!
A dangerous virus was detected in your system!
Attention! McAfee® informs you that your system contains a dangerous virus known as Kongos.31XRW.Worm.
The worm activates on December 31, 2005, at 00:00:00 on all the infected computers, deletes the operation system and BIOS without any chance for restoration.
[...]
McAfee® strongly recommends to download a patch from the official site which will interrupt the virus mutation, delete Kongos.31XRW.Worm from your system and prevent future infections.
Official site: h**p://w*w.mcafee-center.net/?page=update
[...]"
Die Website war täuschend echt nachgemacht, vergleichbar mit Phishing-Sites. Inzwischen wurde die Website geschlossen. Angeboten wurde bis dahin der Download eines Sicherheits-Updates, das den Virus entfernen und den PC vor erneutem Befall schützen sollte - mit dem Dateinamen "ak26xrw-patch-installer-win32.exe" und einer Dateigröße von 6203 Bytes.
Bei diesem Download handelt es sich jedoch um ein Trojanisches Pferd, das bei McAfee als " BackDoor-BAC.gen.d " geführt wird. Verschiedene andere Antivirus-Hersteller rechnen es zur "Hanlo"-Familie.
Hanlo installiert einen neuen Systemdienst mit der Bezeichnung "GPU HL interface", der die von dem Schädling abgelegte Datei "updB1.sys" im System32-Verzeichnis von Windows startet. Hanlo kann weitere Dateien aus dem Internet herunter laden und installieren.
Quelle und Links :
http://www.pcwelt.de/news/sicherheit/127468/index.html
