Vorgebliches Microsoft-Update enthält IRC-Flooder

Diskutiere Vorgebliches Microsoft-Update enthält IRC-Flooder im IT-News Forum im Bereich IT-News; Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft. Die Tarnung von Malware als vorgebliches...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10
original.jpg

Spam-artig verbreitete Mails enthalten einen Link zu einem angeblichen Sicherheits-Update von Microsoft.

Die Tarnung von Malware als vorgebliches Windows-Update ist zwar nicht sonderlich originell, wird aber immer wieder gern genommen. Virenforscher der Antivirus-Hersteller F-Secure und Trend Micro berichten in ihren den Blogs über ein aktuelles Beispiel.

Im Spam-artigen Mails mit dem Betreff "Warning! New Virus On The Internet! Update Now!" und der gefälschten Absenderangabe "update@microsoft.com" wird auf eine angebliche neue Update-Seite von Microsoft verwiesen, wo es alle Updates für Windows, Office und andere Microsoft-Produkte geben soll. Der Link führt auf eine EXE-Datei auf einem rumänischen Web-Server, die zurzeit immer noch erreichbar ist.

Diese Datei ist ein selbstentpackendes, komprimiertes Archiv, das insgesamt 13 Dateien enthält. Darunter sind fünf INI-Dateien, die offenkundig teilweise zur Steuerung von IRC-Verbindungen (Internet Relay Chat) dienen sollen. Ferner enthalten sind sechs EXE-Dateien, eine DLL- und eine COM-Datei. Vier der EXE-Dateien sowie die COM-Datei sind jedoch trotz ihrer Endung keine Programme sondern Textdateien, die Adressen von IRC-Servern sowie die Namen von IRC-Channels und Benutzern enthalten.

Die Erkennung der Dateien durch Antivirus-Software ist immer noch sehr lückenhaft. Die vorhandenen Befunde weisen darauf hin, dass die Dateien Bestandteile eines IRC-Flooders sind. Dabei handelt es sich um ein Programm, das IRC-Server mit einer großen Zahl von Verbindungen überflutet. So können bestimmte Server, Chat-Räume (IRC-Channels) oder Teilnehmer blockiert werden.

Microsoft versendet grundsätzlich keine Updates per Mail und auch keine direkten Download-Links. Wenn Sie eine Mail erhalten, die einen direkten Link auf eine ausführbare Datei (etwa eine EXE-Datei) enthält, ist dies mit hoher Wahrscheinlichkeit Malware. Das gilt auch dann, wenn die Mail scheinbar von einem bekannten Unternehmen oder einem Ihrer Kontakte kommt.

Erkennung durch AV-Software:
Antivirus update.exe

AntiVir BDS/Zapchast.BT
Avast! Win32:Hidewnd [Trj]
AVG HideWindow (Trojan horse)
BitDefender Spyware.Adspace.DLL
ClamAV Trojan.IRC.Flood.AQ
Command -/-
Dr Web Trojan.Flood.22016
eSafe Win32.Polipos.sus
eTrust-INO Win32/IRCFLood.6ra!Dropper
eTrust-VET -/-
Ewido -/-
F-Prot virus dropper
F-Secure Backdoor.IRC.Zapchast
Fortinet Misc/MIRC
Ikarus -/-
Kaspersky not-a-virus:RiskTool.Win32.HideWindows
McAfee HideWindow (potentially unwanted program)
Microsoft Tool:Win32/HideWindows
Nod32 -/-
Norman -/-
Panda Trj/Multidropper.BLU
QuickHeal -/-
Sophos Troj/Zapchas-BT
Symantec -/-
Trend Micro -/-
UNA -/-
VBA32 BackDoor.IRC.based
VirusBuster Trojan.DR.Flood.BM
WebWasher Trojan.Zapchast.BT



Quelle: AV-Test , Stand: 27.07.06, 16:00 Uhr

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online
 
Thema:

Vorgebliches Microsoft-Update enthält IRC-Flooder

Vorgebliches Microsoft-Update enthält IRC-Flooder - Ähnliche Themen

  • Bestimmte Cursor-Schritte bei ENTER-Eigabe vorgeben.

    Bestimmte Cursor-Schritte bei ENTER-Eigabe vorgeben.: In meinem Arbeitsblatt ist es eingerichtet, dass der Cursor bei ENTER-Eingabe nach rechts schreitet. Also von B3 nach C3, D3, F3. Dann soll...
  • Windows 10 Start Layout vorgeben "Deployment"

    Windows 10 Start Layout vorgeben "Deployment": Guten Tag Community. Ziel ist es das Startmenu für die Benutzer lokal auf dem Client vorzugeben bei der Erstanmeldung. Der Benutzer soll danach...
  • GPO: Einstellung vorgeben, Benutzer soll Änderungsmöglichkeit haben

    GPO: Einstellung vorgeben, Benutzer soll Änderungsmöglichkeit haben: Hallo zusammen, mein Problem ist folgendes: Ich möchte via GPO festlegen, dass der Kennwortschutz für den Bildschirmschoner per Default aktiviert...
  • Clustergröße bei Aufsetzen vorgeben

    Clustergröße bei Aufsetzen vorgeben: Hi. Ich meine gelesen zu haben, dass die Cluster Größe der NTFS Partition (gering) höhere Transferraten ermöglicht. Eine größere Cluster Size...
  • [DE] Falsche Mails vom Anwalt: Betrüger versenden vorgebliche Abmahnungen

    [DE] Falsche Mails vom Anwalt: Betrüger versenden vorgebliche Abmahnungen: Erneut werden im Namen eines Rechtsanwalts gefälschte Abmahnungen wegen vorgeblicher Urheberrechtsverletzungen verschickt. Die Empfänger der Mails...
  • Ähnliche Themen

    Oben