E-Mails preisen falschen Windows XP Patch an

Graphischer Trick lässt unachtsame User in die Wurm-Falle tappen

11/20/2009 | Bochum 

 

 

„Sichern Sie Ihren PC und machen Sie alle Updates!“ Diese Direktive wird zu Recht von Softwareherstellern und Computerexperten ausgegeben. Dabei versteht es sich von selbst, dass die Updates und Patches vom Originalhersteller bezogen werden sollten. Jetzt haben sich Spamversender allerdings die Bequemlichkeit vieler User zu Nutze gemacht. Die Masche der Cyberkriminellen ist dabei einfach und zugleich erfolgreich:  Sie versprechen ein „Windows XP SP3 Critical Update“ in der Betreffzeile und verleiten den Empfänger dazu, den an die Mail angehängten Ordner zu öffnen. Dieser Ordner entpuppt sich jedoch als exe-Datei, die durch ein verändertes Icon als Ordner getarnt wurde.  Die Installation der exe-Datei schleust einen E-Mail-Wurm auf den Rechner. Die Folge: Sie werden zum unerwünschten Weiterverbreiter dieses Wurms und ihr Rechner ist infiziert.

 

 

Die Tarnung der exe-Datei mit einem Ordnersymbol. Mit den Standardeinstellungen von Windows wird nicht ersichtlich, dass es sich um eine ausführbare Datei handelt:

 
Die Tarnung der exe-Datei mit einem Ordnersymbol (mit angezeigter Dateiendung):

 
„Dieser Schädling ist ein eher altmodischer E-Mail-Wurm. Allerdings ist die Tarnung der Datei hinter einem Ordnersymbol interessant. Diese Masche ist ein ganz schön hinterhältiger Trick, um User zu täuschen. Wer in Hektik ist und ‚nur mal schnell‘ nachsehen will, was sich in dem Ordner befindet, oder gar nicht weiß, dass eine Datei ein anderes Icon haben kann, der handelt sich leider schnell Ärger ein. Es lohnt sich, genau hinzusehen!“, erläutert Ralf Benzmüller, Leiter des G DATA Security Labs.

 

 

 

 

Der Schädling und seine Wirkung
Der E-Mail-Wurm kommt als ausführbare exe-Datei mit dem Namen „mswinxpa_sp3upd.exe“ als Anhang einer E-Mail zu den Usern. Die exe-Datei wird mit einem Ordner-Icon versehen. Bei Installation des Programmes installiert sich ein E-Mail-Wurm, der von G Data Produkten als Trojan.Generic.171369 erkannt wird. Dieser Wurm verbindet sich offenbar mit einem externen SMTP-Server (Port 25) und versendet von dort aus E-Mails. Zusätzlich kopiert er sich mehrfach auf die Festplatte des Opfers und tarnt sich hinter einer Menge bekannter Namen. Der Schädling trägt sich außerdem in die Autostartfunktion ein und deaktiviert TaskManager und RegEdit. So können wichtige Systemfunktionen und Registryeinträge nicht mehr überwacht, bzw. geändert werden.

 

Die Masche der Täter
Cyberkriminelle haben immer wieder versucht, gefälschte Updates per E-Mail oder als Downloadlink in E-Mails unter die PC User zu bringen. Allerdings ist es in diesem Fall eine Spur hinterhältiger, da ein unerfahrener User durch die Veränderung des Icons kaum eine Chance hat, die gefälschte Datei zu erkennen. Der englische E-Mail Text, in dem das Update angepriesen wird, ist dabei eher von zweitrangiger Bedeutung.

Der Schädling wird von G Data Sicherheitsprodukten bereits erkannt. Die Experten der G Data Security Labs empfehlen allen Anwendern, E-Mails mit den genannten Eigenschaften zu löschen und die Virensignaturen umgehend zu aktualisieren. Generell sollten unerwartet eintreffende Mail-Anhänge von unbekannten Absendern, die angeblich Updates etc. enthalten, mit Skepsis betrachtet werden und im Zweifelsfall gelöscht werden. Abgesehen davon, wird Microsoft niemals Updates per E-Mail versenden.


Thorsten Urbanski/ Sabrina Berkenkopf