Contact
QR code for the current URL

Story Box-ID: 306055

G DATA CyberDefense AG Königsallee 178 44799 Bochum, Germany http://www.gdata.de
Contact Mr Thorsten Urbanski +49 234 9762239

E-Mails preisen falschen Windows XP Patch an

Graphischer Trick lässt unachtsame User in die Wurm-Falle tappen

(PresseBox) (Bochum, )
"Sichern Sie Ihren PC und machen Sie alle Updates!" Diese Direktive wird zu Recht von
Softwareherstellern und Computerexperten ausgegeben. Dabei versteht es
sich von selbst, dass die Updates und Patches vom Originalhersteller
bezogen werden sollten. Jetzt haben sich Spamversender allerdings die
Bequemlichkeit vieler User zu Nutze gemacht. Die Masche der
Cyberkriminellen ist dabei einfach und zugleich erfolgreich: Sie
versprechen ein "Windows XP SP3 Critical Update" in der Betreffzeile
und verleiten den Empfänger dazu, den an die Mail angehängten Ordner zu
öffnen. Dieser Ordner entpuppt sich jedoch als exe-Datei, die durch ein
verändertes Icon als Ordner getarnt wurde. Die Installation der
exe-Datei schleust einen E-Mail-Wurm auf den Rechner. Die Folge: Sie
werden zum unerwünschten Weiterverbreiter dieses Wurms und ihr Rechner
ist infiziert.

"Dieser Schädling ist ein eher altmodischer E-Mail-Wurm. Allerdings ist
die Tarnung der Datei hinter einem Ordnersymbol interessant. Diese Masche
ist ein ganz schön hinterhältiger Trick, um User zu täuschen. Wer in
Hektik ist und 'nur mal schnell' nachsehen will, was sich in dem
Ordner befindet, oder gar nicht weiß, dass eine Datei ein anderes Icon
haben kann, der handelt sich leider schnell Ärger ein. Es lohnt sich,
genau hinzusehen!", erläutert Ralf Benzmüller, Leiter des G DATA
Security Labs.


++ Der Schädling und seine Wirkung
Der E-Mail-Wurm kommt als ausführbare exe-Datei mit dem Namen
"mswinxpa_sp3upd.exe" als Anhang einer E-Mail zu den Usern. Die
exe-Datei wird mit einem Ordner-Icon versehen. Bei Installation des
Programmes installiert sich ein E-Mail-Wurm, der von G Data Produkten als
Trojan.Generic.171369 erkannt wird. Dieser Wurm verbindet sich offenbar
mit einem externen SMTP-Server (Port 25) und versendet von dort aus
E-Mails. Zusätzlich kopiert er sich mehrfach auf die Festplatte des
Opfers und tarnt sich hinter einer Menge bekannter Namen. Der Schädling
trägt sich außerdem in die Autostartfunktion ein und deaktiviert
TaskManager und RegEdit. So können wichtige Systemfunktionen und
Registryeinträge nicht mehr überwacht, bzw. geändert werden.


+++ Die Masche der Täter
Cyberkriminelle haben immer wieder versucht, gefälschte Updates per E-Mail
oder als Downloadlink in E-Mails unter die PC User zu bringen. Allerdings
ist es in diesem Fall eine Spur hinterhältiger, da ein unerfahrener User
durch die Veränderung des Icons kaum eine Chance hat, die gefälschte
Datei zu erkennen. Der englische E-Mail Text, in dem das Update
angepriesen wird, ist dabei eher von zweitrangiger Bedeutung.

Der Schädling wird von G Data Sicherheitsprodukten bereits erkannt. Die
Experten der G Data Security Labs empfehlen allen Anwendern, E-Mails mit
den genannten Eigenschaften zu löschen und die Virensignaturen umgehend
zu aktualisieren. Generell sollten unerwartet eintreffende Mail-Anhänge
von unbekannten Absendern, die angeblich Updates etc. enthalten, mit
Skepsis betrachtet werden und im Zweifelsfall gelöscht werden. Abgesehen
davon, wird Microsoft niemals Updates per E-Mail versenden.
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.