Malware-Warnung
Fieser Spam bringt Malware statt Windows-Update
Eine neue Spam-Welle ködert derzeit mit einem hinterhältigen Trick Opfer: Die täuschend echt wirkenden Mails fordern zum Download eines vermeintlichen Sicherheitsupdates von Microsoft auf, liefern den Rechner in Wahrheit jedoch Cyberkriminellen Netzwerken aus.
Da ihnen im »Sommerloch« offenbar die zugkräftigen Promi-News ausgehen, versuchen es die Cyberkriminellen Spammer im Internet derzeit wieder einmal mit dem altbekannten Windows-Update-Trick. Dabei werden Massenmails verschickt, in denen die Empfänger auf ein angebliches Sicherheitsupdate von Microsoft hingewiesen werden, dass sie sofort aufspielen sollen, um ihren Computer vor Angriffen aus dem Netz zu schützen. Im Gegensatz zu früheren Varianten haben die Spammer ihre Methode jedoch dieses Mal deutlich »verbessert«. So sind die aktuellen Malware-Mails aus originalen Microsoft-Meldungen zusammengesetzt, so dass Texte und Aufmachung tatsächlich täuschend echt wirken, statt sich wie früher oft alleine schon durch tausende Rechtschreibfehler zu verraten.
Darüber hinaus ist bei der aktuellen Spam-Welle die Malware auch nicht mehr direkt an die Email angehängt. Stattdessen werden die Empfänger aufgefordert, das angebliche Update über einen Link im Text aus dem Internet herunterzuladen, wodurch viele Spam-Filter ausgetrickst werden. Hinter dem Link verbirgt sich eine EXE-Datei, die ein mehrfach mit UPX komprimiertes, selbstentpackendes RAR-Archiv enthält. Nach dem Herunterladen entpackt sich das Archiv selbständig und kompromittiert das Windows-System mit drei Dateien. Zum einen ersetzt die Datei »termsrv.dll« eine Originaldatei gleichen Namens. Als zweites folgt die VBScript-Datei »core.vbs«, welche etliche Registry-Manipulationen vornimmt, und die entsprechenden Werte der dritten Datei, »java.reg«, entnimmt.
Nach der Installation nimmt der von Bitdefender als »Trojan.Agent.ARVQ« benannte Schädling die Verbindung zu einem gehackten Web-Server auf, dem er die IP-Adresse des zuvor infizierten Rechners meldet. Anschließen legt er auf dem kompromittierten PC neue Benutzer mit Administratorrechten an, so dass die Angreifer nach Belieben mehrere parallele Fernsteuerungsverbindungen zu dem Zombie-Rechner aufbauen können.
Als Gegenmaßnahme empfiehlt Bitdefender die Sicherheits-Updates für Windows möglichst automatisch per Windows Update herunter laden zu lassen. Wer sie dennoch lieber manuell aus dem Web herunter laden will, sollte die digitalen Signaturen der Dateien vor der Installation überprüfen, um sicher zu stellen, dass die Dateien tatsächlich von Microsoft stammen und nicht manipuliert sind. Der nächste Patch Day von Microsoft findet am kommenden Dienstag statt.
Lesen Sie mehr zum Thema
