Trojaner gibt sich als Security-Bulletin aus

Die Sicherheitsexperten von F-Secure warnen vor einem neuen Trojaner, der sich Spam-artig verbreitet. Betreffzeile und Text der E-Mails täuschen ein Security-Bulletin von Microsoft vor – tatsächlich enthalten die Nachrichten jedoch manipulierten Code, der den Angreifern die komplette Kontrolle über einen infizierten PC ermöglicht.

Die E-Mail gibt sich als ‘Security Bulletin MS05-039’ aus und bietet einen Link zu angeblichen Patches gegen den Sober-, Zafi- und Mytob-Schädling. Tatsächlich führen echte Mitteilungen nach den Worten des F-Secury-Experten Mikko Hypponen immer zuerst auf eine Download-Seite und nicht direkt zu dem Patch. Zudem gibt es noch gar kein Security Bulletin mit der Nummer MS05-039. Das letzte offizielle Bulltin trägt den Namen MS05-34 und stammt vom 14. Juni. Der unechte Patch ist eine Variante des SDBot-Trojaners, der nach Angaben von Websense derzeit von der Software der Antiviren-Hersteller noch nicht entdeckt wird.

F-Secure warnt zudem gleichzeitig vor dem Trojaner Fantibag.b, der infizierten Rechnern mit einer raffinierten Technologie den Zugang zu den Update-Seiten der Sicherheitsfirmen versperrt. Dazu verändert er die Host-Datei von Windows, um die Domains bekannter Antiviren-Hersteller auf einen lokalen Host umzuleiten – der Browser zeigt daraufhin nur noch eine Fehlermeldung an. Zu den derart gefilterten IP-Adressen gehören die von Microsoft – inklusive Windows Update, Computer Associates, F-Secure, McAfee, Sophos, Symantec und Trend Micro.