Sie sind nicht angemeldet.

  • Anmelden

Trojaner nutzt Angst vor msblast

hl_marsallo

Fortgeschrittener

  • »hl_marsallo« ist der Autor dieses Themas

Beiträge: 496

Wohnort: Lahr / Schwarzwald

Beruf: GER

  • Nachricht senden

1

19.08.2003, 12:25

Trojaner nutzt Angst vor msblast

Vermeintlicher Microsoft-Patch in einer E-Mail


Über den altbekannten E-Mail-Weg verbreitet sich seit kurzer Zeit der Wurm Dumaru stark, der eine Trojaner-Komponente in ein befallenes System einschleust, worüber ein Übeltäter via IRC-Verbindung das befallene System belauschen kann. Der Wurm gaukelt dem Anwender vor, dass die verseuchte E-Mail von Microsoft stamme, um den Anwender dazu zu bringen, die angehängte Patch-Datei zu starten und somit den Wurm zu aktivieren.

Der Dumaru-Wurm versendet sich über eine eigene SMTP-Engine an zahlreiche E-Mail-Adressen, die der Schädling auf dem betreffenden System findet. Dazu durchsucht der Wurm Dateien mit den Endungen .html, .htm, .abd, .dbx, .tbb und .wab nach gültigen Adressen.

Die verseuchte E-Mail enthält als Absenderzeile den gefälschten Eintrag ""Microsoft" " und weist folgende Betreffzeile auf: "Use this patch immediately !". Im Nachrichtentext behauptet der Wurm dann, dass die E-Mail einen wichtigen Patch enthalte, um Sicherheitslücken im Internet Explorer zu schließen:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Der eigentliche Wurm-Code steckt im Dateianhang (patch.exe), der manuell vom Anwender geöffnet werden muss, damit der Unhold sich auf dem System einnisten kann.

Nach der Aktivierung des Dumaru-Wurms kopiert sich dieser unter mehreren Dateinamen (dllreg.exe, load32.exe und vxdmgr32.exe) in das Systemverzeichnis respektive das Windows-Verzeichnis, während die Trojaner-Komponente als windrv.exe im Windows-Ordner abgelegt wird. Der Trojaner tritt einem bestimmten IRC-Channel bei, um darüber das betreffende System zu beobachten und alle Aktionen des Anwenders zu protokollieren. Schließlich trägt sich der Wurm in die Registry respektive die Dateien Win.ini und System.ini ein, damit der Schädling bei jedem Neustart des Rechners automatisch ausgeführt wird.

Die Anbieter von Antiviren-Software haben bereits ihre Signaturdateien zur Erkennung des Dumaru-Wurms aktualisiert, so dass man den eigenen Virenscanner unverzüglich auf den aktuellen Stand bringen sollte.



von Golem.de

Hummi

Erleuchteter

Beiträge: 6 330

Wohnort: Magdeburg

Beruf: GER

  • Nachricht senden

2

19.08.2003, 12:57

Naja das altbekannte ..

"Öffne keine e-Mails von denen du nicht genau weist das sie vertrauenswürdig sind"

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Hummi« (19.08.2003, 12:57)

WW_Eisenherz

Meister

Beiträge: 1 932

Wohnort: Hannover

Beruf: Informationssicherheitskoordinator

  • Nachricht senden

3

19.08.2003, 13:29

LOL wer darauf reinfällt ist selber schuld !