Thema: Malware: Falsches Update für Windows kommt per Mail

[SiLæncer]

Per Mail mit gefälschten Absenderangaben kommt ein vorgebliches Update für Windows ins Postfach, das vorgeblich eine Sicherheitslücke stopfen soll, tatsächlich jedoch eine neue Bresche ins System schlägt.

Die klassischen Methoden der Malware-Verbreitung sind doch noch nicht gänzlich aus der Mode gekommen. Vorgeblich von Microsoft stammende Mails mit ebenso vorgeblichen Sicherheits-Updates im Anhang waren schon zu Zeiten, als noch Würmer das Bild bestimmten, eine beliebte Masche. Heute werden auf diesem Wege Trojanische Pferde verbreitet, die weitere Schädlinge herunter laden und installieren sollen.

Malware-Forscher des finnischen Antivirus-Herstellers F-Secure berichten in ihrem Blog von einem Schädling namens "Trojan-Downloader:W32/Agent.FDA" oder auch "Trojan.Win32.Pakes.bmp" (Kaspersky). Dieser wird mittels Spam-artig verbreiteter Mails mit einem Betreff wie "Critical Security Update" verschickt. Darin wird behauptet, im Kernel von Windows sei eine Sicherheitslücke entdeckt worden und der Anhang der Mail könne diese beseitigen. Am Ende der Mails findet sich noch ein Schnipsel zufällig generierten, sinnfreien Textes, der Spam-Filter austricksen soll.
Der Anhang besteht aus einem ZIP-Archiv namens "update.zip", das eine Programmdatei mit dem Namen "update.exe" enthält. Wird diese Datei entpackt und ausgeführt, nimmt sie Kontakt mit einem Server im Internet auf und lädt weitere Malware herunter. Diese nistet sich im Verzeichnis \Windows\System32\drivers als "netdtect.sys" und "runtime.sys" ein. Letztere wird in der Registry als zu startender Dienst eingetragen.

Generell gilt, dass Microsoft nie unaufgefordert Updates per Mail versendet.

Quelle : www.pcwelt.de

[SiLæncer]

Mindestens ein verseuchtes Myspace-Profil versucht Besucher der Seite ein vorgebliches Update von Microsofts kostenlosem Anti-Malware-Tool aufzunötigen. Dabei handelt es sich jedoch um ein schon länger bekanntes Trojanisches Pferd.

Soziale Netzwerke wie Myspace erfreuen auch bei denen großer Beliebtheit, die nur das Verbreiten von Malware im Sinn haben. So hat der Antivirus-Hersteller McAfee auf Myspace.com mindestens ein Benutzerprofil ausgemacht, das versucht einen bereits seit Dezember 2006 bekannten Schädling namens "TFactory" als vorgebliches Microsoft-Update zu lancieren. Ein Bildschirmfoto einer echten Update-Mitteilung dient dabei als Lockmittel.

Der dargestellte Update-Dialog bezieht sich auf die am letzten Dienstag bereit gestellte neue Version des kostenlosen "Windows-Tool zum Entfernen bösartiger Software", Microsofts kleiner Wurmkur. Bei TFactory handelt es sich hingegen um ein betrügerisches Anti-Spyware-Programm. Es meldet nicht-existente Schädlinge in von TFactory eigens angelegten Dateien, für deren Entfernung der Anwender dann die Vollversion des vermeintlichen Reinigungsmittels kaufen soll.

Dave Marcus, Sicherheitsforscher von McAfee, vermutet hinter dieser Attacke ein gehacktes Benutzerprofil oder eines, dessen Zugangsdaten den Angreifern zuvor über einen Phishing-Angriff in die Hände gefallen sind.

Quelle : www.pcwelt.de