Trojanisches Pferd tarnt sich als Windows Update

[Leinadogal]

Mit einem Betreff wie "Microsoft Update" werden nicht nur Spam-Mails verschickt, die illegale Kopien von Microsoft-Produkten zu Niedrigpreisen anbieten. Auch Trojanische Pferde werden auf diese Weise unters Volk gebracht. Der Mail-Text gibt an, mit dem Programm im Anhang könne man seinen PC überprüfen und die neuesten Updates für Windows herunter laden. Die nur wenig mehr als 4 KB große Mail transportiert eine kaum 2 KB kleine ZIP-Datei mit Namen "update.zip", die eine Datei "update.exe" (4 KB) enthält.

Dabei handelt es sich laut Kaspersky um "Trojan-Downloader.Win32.Small.ajx", F-Prot erkennt "W32/Vidlo.K@dl". Das Programm dient dazu, ein weiteres Trojanisches Pferd (7 KB) von einem Web-Server herunter zu laden. Dieses wird von Kaspersky als "Trojan.Win32.Qhost.ba" erkannt (F-Prot: "W32/Banker.VM"). Dieser Schädling manipuliert die Datei "hosts", in der feste Zuordnungen von Server-Namen zu IP-Adressen gespeichert werden können. Diese Datei liegt je nach Windows-Version an unterschiedlichen Stellen:

Windows NT/2000/XP Pro \winnt\system32\drivers\etc\hosts

Windows XP Home \windows\system32\drivers\etc\hosts

Windows 95/98/Me \windows\hosts.sam

Er leitet auf dieses Weise Zugriffe auf Ebay-Server und Online-Banking-Seiten der Postbank, der Berliner Bank und der Deutschen Bank auf Server in Colorado und Florida um. So können die Betreiber der gefälschten Web-Server die Login-Daten von Benutzern abfangen und für ihre Zwecke missbrauchen. Es handelt sich hierbei also um einen Phishing-Angriff. Die Empfehlung lautet daher immer wieder: Öffnen Sie keine Mail-Anhänge, die Ihnen unaufgefordert zugeschickt werden - auch wenn Ihr Virenscanner keinen Alarm schlägt.

Quelle:pcwelt.de

[Gecki]

THX 4 News Leinadogal

Greetz,

Gecki