Ein vorgebliches Update gegen eine nicht existierende Sicherheitslücke ist ein Trojanisches Pferd.Nach Berichten verschiedener Antivirus-Firmen wurden am Montag und Dienstag Spam-artig Mails verbreitet, in denen Download-Links für eine Programmdatei enthalten waren. Im Text der Mails wird behauptet, es handele sich um einen Patch gegen eine Sicherheitslücke im Winlogon-Dienst. Tatsächlich ist es ein Trojanisches Pferd.
Die Mails werden mit der gefälschten Absenderangabe "patch@microsoft.com" verschickt. Der Betreff lautet "Microsoft WinLogon Service - Vulnerability Issue". Im Text heißt es:
"A new vulnerability has been discovered in the Microsoft WinLogon Service , that would allow an attacker to gain access to an unpached computer.
Since your email is part of our private mail lists and your have succesfully registered your Microsoft Windows , you can download the patch to fix this vulnerability before others do.
Please click the link below to download the patch and protect your computer against WinLogon attacks :
h**p://w*w.microsoft.com/patches-win-logon-critical/winlogon_patchV1.12.exe
You are free to share this with all your friends and relatives that are using Microsoft Windows Operating System"Tatsächlich verweist der Link auf ganz andere Server. Der Schädling schaltet unter Windows XP die Systemwiederherstellung ab und installiert einen Keylogger. Dieser wird als DLL ("winlogon_patchV1.dll") in den Prozess von explorer.exe injiziert und protokolliert Tastatureingaben und den Inhalt der Zwischenablage in einer verschlüsselten Datei.
Quelle :
www.pcwelt.de
