Angebliches Windows-Update enthält Trojanisches Pferd

Vorgeblich von Microsoft stammende Mails verweisen auf eine EXE-Datei, die einen Keylogger installiert.

Eine schon mehrfach benutzte Methode, um Malware zu verbreiten, ist die Tarnung als Sicherheits-Update für Windows. Der zeitliche Zusammenhang des jüngsten Beispiels mit dem Microsoft Patch Day wird wohl kein Zufall sein.

Mit dem Betreff "Critical security update available" und dem vorgetäuschten Absender <security.updates@microsoft.com> werden Spam-artig Mails verbreitet, die einen Link auf ein angebliches Sicherheits-Update von Microsoft enthalten. Der Mail-Text gibt allerdings den Inhalt des Security Bulletins MS05-039 vom 9. August wieder.

Die Mail enthält, im Gegensatz zu echten Microsoft-Mails, einen direkten Download-Link für eine EXE-Datei. Diese trägt den gleichen Namen wie das echte Update ("Windows-KB899588-x86-ENU.exe") und ist 114.583 Bytes groß. Die Datei liegt auf einem Rechner in Kanada - auch noch, während dieser Artikel geschrieben wurde.

Wird das Programm ausgeführt, verhält es sich scheinbar wie ein echtes Microsoft-Update. Es zeigt eine Setup-Routine einschließlich Lizenz-Zustimmung an. Im Verzeichnis C:\WINDOWS\system\dump wird eine Datei "svchost.exe" angelegt und über einen Registry-Eintrag bei jedem Windows-Start geladen. Eine Kopie dieser Datei wird im Verzeichnis C:\windows\system\ als "ist2.exe" abgelegt.

Dabei handelt es sich um einen recht primitiven Keylogger. Dieser protokolliert alle Tastatureingaben in einer Datei namens "windowskj.log" im Verzeichnis C:\WINDOWS\system\, die er versucht, per FTP auf einen Server eines hawaiischen Providers zu übertragen. Die dabei verwendete Kombination aus Benutzername und Passwort funktioniert jedoch nicht (mehr) - vermutlich hat der Provider den Zugang bereits gesperrt.

Microsoft versendet Mitteilungen über Security Bulletins grundsätzlich nur an Personen, die solche Mails abonniert haben. Die Mails von Microsoft enthalten keine ausführbaren Anhänge und auch keine direkten Links auf ausführbare Dateien. Wenn Sie auf Ihrem PC eine Datei "svchost.exe" finden sowie laufende Prozesse, die zu dieser Datei gehören, ist das völlig normal. Die zu Windows 2000 und XP gehörende Datei dieses Namens befindet sich allerdings im System32-Verzeichnis. (PC-Welt/mec)

Erkennung der Datei "Windows-KB899588-x86-ENU.exe" durch Antivirenprogramme:

Antivirus

Malware-Name

AntiVir

TR/Drop.Age.BV.11.A

Avast!

-/-

AVG

-/-

BitDefender

Trojan.Spy.Luhn.A

ClamAV

Trojan.Spy.W32.Luhn

Command AV

backdoor program

Dr Web

Trojan.Sklog

eSafe

-/-

eTrust-INO

Win32/Luhn!Spy!Dropper

eTrust-VET

Win32/Luhn.A

Ewido

-/-

F-Prot

backdoor program

F-Secure

Trojan-Spy.Win32.Luhn.a

Fortinet

W32/SpyLuhn.A-dr

Ikarus

-/-

Kaspersky

Trojan-Spy.Win32.Luhn.a

McAfee

Keylog-Sklog.dr trojan

Nod32

-/-

Norman

-/-

Panda

Trj/Spy.Luhn

Sophos

Troj/Dropper-BV

Symantec

Trojan.Dropper

Trend Micro

TROJ_DROPPER.VK