Ein Virenautor hat zu einem alten Trick gegriffen und hat seine verhängnisvollen Botschaft als Sicherheits-Update von Microsoft (Börse Frankfurt: MSF) getarnt. Der Internet-Wurm Gibe („w32.gibe@mm“) ist aber vergleichsweise harmlos, zumindest richtet er keine Schäden auf den Rechnern der Infizierten an. Wie in solchen Fällen üblich, fällt durch das Weiterversenden via Outlook nur eine Menge unnützer Datenkommunikation an.
Die verseuchte Mail ist für Leser, die des Englishen mächtig sind, einfach an Rechtschreibfehlern zu erkennen. Die Betreffzeile lautet „Internet Security Update“, der Text:
Microsoft Customer,
this is the latest version of security update, the update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer.Description of several well-know vulnerabilities:
– „Incorrect MIME Header Can Cause IE to Execute E-mail Attachment“ vulnerability. If a malicious user sends an affected HTML e-mail or hosts an affected e-mail on a Web site, and a user opens the e-mail or visits the Web site, Internet Explorer automatically runs the executable on the user’s computer.
– A vulnerability that could allow an unauthorized user to learn the location of cached content on your computer. This could enable the unauthorized user to launch compiled HTML Help (.chm) files that contain shortcuts to executables, thereby enabling the unauthorized user to run the executables on your computer.
– A new variant of the „Frame Domain Verification“ vulnerability could enable a malicious Web site operator to open two browser windows, one in the Web site’s domain and the other on your local file system, and to pass information from your computer to the Web site.
– CLSID extension vulnerability. Attachments which end with a CLSID file extension do not show the actual full extension of the file when saved and viewed with Windows Explorer. This allows dangerous file types to look as though they are simple, harmless files – such as JPG or WAV files – that do not need to be blocked.
System requirements: Versions of Windows no earlier than Windows 95.
This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01
How to install
Run attached file q216309.exe
How to use
You don’t need to do anything after installing this item.
For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below. If you have some questions about this article contact us at rdquest12@microsoft.com
Thank you for using Microsoft products.
With friendly greetings,
MS Internet Security Center.
Der Anhang ist „q216309.exe“ benannt und 122.880 Bytes groß. Im Falle eines (unbedingt zu vermeidenden!) Doppelklicks auf den verseuchten Anhang, trägt der Virenwurm folgende Dateien in das Registry:
HKLMSoftwareAVTechSettingsDefault Address = [default address]
HKLMSoftwareAVTechSettingsDefaultServer = [default server]
HKLMSoftwareAVTechSettingsInstalled = …by Begbie
HKLMSoftwareMicrosoftWindows CurrentVersionRun3dfx Acc = [path to gfxacc.exe]
HKLMSoftwareMicrosoftWindows CurrentVersionRunLoadDBackup = [path to bctool.exe]
Daraufhin wird ein Trojaner installiert, der bei jedem Neustart aktiv wird. Im Directory legt Gibe dazu folgende Dateien an:
bctool.exe (32,768 bytes) – the mass-mailing component
winnetw.exe (20,480 bytes)- e-mail address finding component
q216309.exe (122,880 bytes) – a copy of the worm
vtnmsccd.dll (122,880 bytes) – a copy of the worm
gfxacc.exe (20,480 bytes) – the Trojan horse component
Die Datei gfxacc.exe ist das besagte Hintertürchen. Dadurch könnte der Virenschreiber auf den infizierten Rechner zugreifen. Die meisten der namhaften Antivirenexperten haben ihre Software bereits auf den neusten Stand gebracht.
Kontakt:
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.