Softwareherstellern und Computerexperten ausgegeben. Dabei versteht es
sich von selbst, dass die Updates und Patches vom Originalhersteller
bezogen werden sollten. Jetzt haben sich Spamversender allerdings die
Bequemlichkeit vieler User zu Nutze gemacht. Die Masche der
Cyberkriminellen ist dabei einfach und zugleich erfolgreich: Sie
versprechen ein "Windows XP SP3 Critical Update" in der Betreffzeile
und verleiten den Empfänger dazu, den an die Mail angehängten Ordner zu
öffnen. Dieser Ordner entpuppt sich jedoch als exe-Datei, die durch ein
verändertes Icon als Ordner getarnt wurde. Die Installation der
exe-Datei schleust einen E-Mail-Wurm auf den Rechner. Die Folge: Sie
werden zum unerwünschten Weiterverbreiter dieses Wurms und ihr Rechner
ist infiziert.
"Dieser Schädling ist ein eher altmodischer E-Mail-Wurm. Allerdings ist
die Tarnung der Datei hinter einem Ordnersymbol interessant. Diese Masche
ist ein ganz schön hinterhältiger Trick, um User zu täuschen. Wer in
Hektik ist und 'nur mal schnell' nachsehen will, was sich in dem
Ordner befindet, oder gar nicht weiß, dass eine Datei ein anderes Icon
haben kann, der handelt sich leider schnell Ärger ein. Es lohnt sich,
genau hinzusehen!", erläutert Ralf Benzmüller, Leiter des G DATA
Security Labs.
++ Der Schädling und seine Wirkung
Der E-Mail-Wurm kommt als ausführbare exe-Datei mit dem Namen
"mswinxpa_sp3upd.exe" als Anhang einer E-Mail zu den Usern. Die
exe-Datei wird mit einem Ordner-Icon versehen. Bei Installation des
Programmes installiert sich ein E-Mail-Wurm, der von G Data Produkten als
Trojan.Generic.171369 erkannt wird. Dieser Wurm verbindet sich offenbar
mit einem externen SMTP-Server (Port 25) und versendet von dort aus
E-Mails. Zusätzlich kopiert er sich mehrfach auf die Festplatte des
Opfers und tarnt sich hinter einer Menge bekannter Namen. Der Schädling
trägt sich außerdem in die Autostartfunktion ein und deaktiviert
TaskManager und RegEdit. So können wichtige Systemfunktionen und
Registryeinträge nicht mehr überwacht, bzw. geändert werden.
+++ Die Masche der Täter
Cyberkriminelle haben immer wieder versucht, gefälschte Updates per E-Mail
oder als Downloadlink in E-Mails unter die PC User zu bringen. Allerdings
ist es in diesem Fall eine Spur hinterhältiger, da ein unerfahrener User
durch die Veränderung des Icons kaum eine Chance hat, die gefälschte
Datei zu erkennen. Der englische E-Mail Text, in dem das Update
angepriesen wird, ist dabei eher von zweitrangiger Bedeutung.
Der Schädling wird von G Data Sicherheitsprodukten bereits erkannt. Die
Experten der G Data Security Labs empfehlen allen Anwendern, E-Mails mit
den genannten Eigenschaften zu löschen und die Virensignaturen umgehend
zu aktualisieren. Generell sollten unerwartet eintreffende Mail-Anhänge
von unbekannten Absendern, die angeblich Updates etc. enthalten, mit
Skepsis betrachtet werden und im Zweifelsfall gelöscht werden. Abgesehen
davon, wird Microsoft niemals Updates per E-Mail versenden.