Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer E-Mails preisen falschen Windows XP Patch an

E-Mails preisen falschen Windows XP Patch an

Archivmeldung vom 20.11.2009

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 20.11.2009 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt

„Sichern Sie Ihren PC und machen Sie alle Updates!“ Diese Direktive wird zu Recht von Softwareherstellern und Computerexperten ausgegeben. Dabei versteht es sich von selbst, dass die Updates und Patches vom Originalhersteller bezogen werden sollten. Jetzt haben sich Spamversender allerdings die Bequemlichkeit vieler User zu Nutze gemacht.

Die Masche der Cyberkriminellen ist dabei einfach und zugleich erfolgreich: Sie versprechen ein „Windows XP SP3 Critical Update“ in der Betreffzeile und verleiten den Empfänger dazu, den an die Mail angehängten Ordner zu öffnen. Dieser Ordner entpuppt sich jedoch als exe-Datei, die durch ein verändertes Icon als Ordner getarnt wurde. Die Installation der exe-Datei schleust einen E-Mail-Wurm auf den Rechner. Die Folge: Sie werden zum unerwünschten Weiterverbreiter dieses Wurms und ihr Rechner ist infiziert.

„Dieser Schädling ist ein eher altmodischer E-Mail-Wurm. Allerdings ist die Tarnung der Datei hinter einem Ordnersymbol interessant. Diese Masche ist ein ganz schön hinterhältiger Trick, um User zu täuschen. Wer in Hektik ist und ‚nur mal schnell‘ nachsehen will, was sich in dem Ordner befindet, oder gar nicht weiß, dass eine Datei ein anderes Icon haben kann, der handelt sich leider schnell Ärger ein. Es lohnt sich, genau hinzusehen!“, erläutert Ralf Benzmüller, Leiter des G DATA Security Labs.

Der Schädling und seine Wirkung

Der E-Mail-Wurm kommt als ausführbare exe-Datei mit dem Namen „mswinxpa_sp3upd.exe“ als Anhang einer E-Mail zu den Usern. Die exe-Datei wird mit einem Ordner-Icon versehen. Bei Installation des Programmes installiert sich ein E-Mail-Wurm, der von G Data Produkten als Trojan.Generic.171369 erkannt wird. Dieser Wurm verbindet sich offenbar mit einem externen SMTP-Server (Port 25) und versendet von dort aus E-Mails. Zusätzlich kopiert er sich mehrfach auf die Festplatte des Opfers und tarnt sich hinter einer Menge bekannter Namen. Der Schädling trägt sich außerdem in die Autostartfunktion ein und deaktiviert TaskManager und RegEdit. So können wichtige Systemfunktionen und Registryeinträge nicht mehr überwacht, bzw. geändert werden.

Die Masche der Täter

Cyberkriminelle haben immer wieder versucht, gefälschte Updates per E-Mail oder als Downloadlink in E-Mails unter die PC User zu bringen. Allerdings ist es in diesem Fall eine Spur hinterhältiger, da ein unerfahrener User durch die Veränderung des Icons kaum eine Chance hat, die gefälschte Datei zu erkennen. Der englische E-Mail Text, in dem das Update angepriesen wird, ist dabei eher von zweitrangiger Bedeutung.

Der Schädling wird von G Data Sicherheitsprodukten bereits erkannt. Die Experten der G Data Security Labs empfehlen allen Anwendern, E-Mails mit den genannten Eigenschaften zu löschen und die Virensignaturen umgehend zu aktualisieren. Generell sollten unerwartet eintreffende Mail-Anhänge von unbekannten Absendern, die angeblich Updates etc. enthalten, mit Skepsis betrachtet werden und im Zweifelsfall gelöscht werden. Abgesehen davon, wird Microsoft niemals Updates per E-Mail versenden. 

Quelle: G Data  Software AG

 

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte stigma in folgendes Feld um den Spam-Filter zu umgehen

Anzeige