PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Falscher IE7 in falschen Micros*ft-Mails mit winlogon.exe-Trojaner im Gepäck



Burgerdri
31.03.07, 10:01
In vorgeblich von Microsoft stammenden Mails werden Links zu einem angeblichen Download des Internet Explorer 7 verbreitet. Diese Dateien enthalten jedoch keinen Browser sondern ein Trojanisches Pferd.

Spam-artig verbreitete Mails verbreiten seit gestern Links zu angeblichen Download-Seiten für den neuen Internet Explorer 7. Die Mails kommen mit einer gefälschten Absenderangabe wie "admin@microsoft.com" und einem Betreff wie "Internet Explorer 7 Downloads". Sie enthalten jede Menge Spam-typischen Textmüll, der nicht (oder lediglich in der Nur-Text-Ansicht) angezeigt wird sowie eine Referenz auf ein Bild im Internet.


Dieses Bild stellt zugleich auch einen Link zu dem Web-Server dar, von dem das Bild stammt. Es zeigt ein altes IE7-Beta-2-Logo. Der Link zeigt auf eine Datei "ie7.0.exe". Es gibt eine ganze Reihe unterschiedlicher Web-Server, auf denen diese Datei liegt (oder lag - einige sind inzwischen dicht) und die in Variationen der Spam-Mails verlinkt sind. Die Mails werden über dieselben Botnets verbreitet wie etliche Viagra-Spams. Die Web-Server sind mutmaßlich gehackte Websites.

Die EXE-Datei ist ein Trojanisches Pferd. Es kopiert sich als "winlogon.exe" in das TEMP-Verzeichnis und erstellt einen Run-Eintrag in der Registry, damit es beim Starten von Windows geladen wird. Es versteckt alle Dateien, die "winlogon.exe" heißen. Es installiert einen Spam-Proxy und verwandelt befallene PCs somit in Spam-Schleudern.

Quelle:
http://www.pcwelt.de/news/sicherheit/75934/index.html