WCM Forum - Vorgebliches Windows-Update enthält Malware

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Vorgebliches Windows-Update enthält Malware (http://www.wcm.at/forum/showthread.php?t=242450)

Vorgebliches Windows-Update enthält Malware

Zitat:

Derzeit werden Spam-Mails verbreitet, die vorgeblich von Microsoft kommen und zum Download einer vermeintlichen Sicherheitsaktualisierung für Windows auffordern. Zu diesem Zweck ist ein Link enthalten, der jedoch nur scheinbar zur Microsoft-Website zeigt. Vielmehr wird beim Anklicken Malware auf den Rechner geladen.

Vorgebliche Windows-Updates sind seit etlichen Jahren ein beliebter Köder zur Verbreitung von Schädlingen. Im Malware City Blog des Antivirusherstellers Bitdefender berichtet Loredana Botezatu über die jüngste Variante dieser Malware-Falle. Die Mails kommen mit einem Betreff wie "Critical security patch released" und einem gefälschten Microsoft-Absender.

Teile des Textes in der Mail sind 1:1 von Microsofts Website kopiert und wirken daher authentischer als die oft vor Fehlern strotzenden, selbst verfassten Texte der Malware-Verbreiter, deren Muttersprache meist weder Englisch noch Deutsch ist.

Statt wie früher den Schädling gleich als Anhang mitzuschicken, der heutzutage oft durch Mail-Filter aussortiert würde, schicken die Online-Kriminellen nur einen Link mit. Die herunter geladene EXE-Datei ist ein mehrfach mit UPX komprimiertes, selbstentpackendes RAR-Archiv. Es legt drei Dateien im System32-Verzeichnis von Windows ab.

Die Programmbibliothek termsrv.dll ersetzt eine vorhandene Originaldatei gleichen Namens. Die VBScript-Datei core.vbs nimmt etliche Registry-Manipulationen vor, entnimmt deren Werte der dritten Datei, java.reg. Der von Bitdefender als "Trojan.Agent.ARVQ" erkannte Schädling nimmt Verbindung zu einem gehackten Web-Server auf, dem er die IP-Adresse des infizierten Rechners meldet. Er legt auf dem verseuchten PC neue Benutzer an und teilt diese der Gruppe der Administratoren zu. Diese Manipulationen am System bewirken, dass die Angreifer nach Belieben mehrere parallele Fernsteuerungsverbindungen zum verseuchten Rechner aufbauen können.

Bitdefender empfiehlt Sicherheits-Updates für Windows vorzugsweise per automatischem Windows Update herunter zu laden. Wer sie lieber manuell aus dem Web herunter lädt, sollte die digitalen Signaturen der Dateien vor der Installation überprüfen, um sicher zu stellen, dass die Dateien nicht manipuliert sind.

Der nächste offizielle Microsoft Patch Day ist am kommenden Dienstag.

Quelle: http://www.pc-magazin.de/news/vorgeb...e-1157380.html

Eine Frage: Ich habe die Updates für Windows noch nie manuell heruntergeladen und habe dies auch nicht vor. Jedoch wo liegt der Unterschied wenn ich die Updates im Web suche ODER unter Systemsteuerung...... Windows Update
"Nach Updates suchen" klicke und dann kann ich aus der Liste sowiso auswählen welche ich herunterladen bzw. installieren möchte und welche nicht?

Richtig, es geht drum, daß User per Mail zu Updates genötigt werden, und dann auf eine gefakte Seite gelangen, siehe:

Zitat:

Zu diesem Zweck ist ein Link enthalten, der jedoch nur scheinbar zur Microsoft-Website zeigt. Vielmehr wird beim Anklicken Malware auf den Rechner geladen.

Naja gut, ich will jetzt nicht behaupten, dass die Leute die diese Mail bekommen haben und der Überzeugung waren, die käme wirklich von Microsoft, dumm sind. Aber ich mit meinen 17 1/2 Jahren weiß kontrolliere solche Mails (oder andere Dinge ist nur ein Beispiel) indem ich einfach kurz bei Google recherchiere um die (mögliche) Bestätigung zu finden, dass ich auf keinen Betrug hereinfalle.

Das ehrt Dich, Du ahnst aber nicht wieviele User sich nichts dabei denken.
Schau mal im Forum wie oft nach der Lösung von Malwareproblemen mit angeblichen Sicherheitsprogrammen fragten, ich weiß den Namen des Progis nicht mehr.

Danke sehr :D

Ja hab ich schon oft genug gesehen. Hm war eines der weitverbreiteten Programme nicht das Security-Tool?

Genau, das war es!
Ich wollte nur nicht alle Beiträge durchforsten. ;)

Das Problem ist die "klickfreudigkeit" der Leute. Meine Frau hat sich unlängst auch bei eine Update ihrer Gamemanager Software den voreingestellten und "angehakerlten" wichtigen Norton Antivirus eingefangen -habe ihn dann "des Rechners verwiesen";)
Auch bei Open source wird mit den Voreinstellungstrick gearbeitet. Z.B. CCleaner und MIRO-bei 2. wird dann noch wenn man das Hackerl entfernt "gewimmert" das sie doch Open S sind und dafür Geld bekommen würden-man soll doch Bitte bitte die Startseite installieren (war erst gestern wieder so beim Update auf 4.0.2):rolleyes:

Ja, das ist ein "neuer" Gag, man will ein Hilfsprogramm/Tool installieren und irgendwo im "Kleingedruckten" wird ein Zusatz angeboten.
Meist irgend eine Toolbar, Sicherheitsprogi etc.; ich hab mir deshalb schon angewöhnt alles zweimal durchzulesen. ;)

ICH auch-aber da sind wir wohl die ausnahmen - viele wollen dann ihr Spiel starten und klicken auf Update/OK und sehen gar nicht das da was angehackerlt ist:rolleyes: