Malware imitiert Windows Security Center - www.computerschutz.net

dirkp · Registriert seit: 17.10.2008

Info und Quelle

Falsche E-Mails und Trojaner-Warnungen locken Microsoft-Kunden

Erneut zielt eine Malware-Attacke auf Microsoft-Kunden ab, dieses Mal in Gestalt des Windows Sicherheitscenters.

Eine neuartige, via Trojaner verbreitete Malware gibt sich derzeit als Windows Security Center aus und täuscht den User mit falschen Virenwarnungen. Der Schadcode kann laut den Security-Forschern von Computer Associates zudem Registry-Einträge und kritische Systemeinstellungen wie die Proxy-Konfiguration manipulieren.
Im Security Advisor Research Blog des IT-Management-Spezialisten Computer Associates (CA) warnt der Senior Engineer Benjamin Googins vor der schädlichen Datei seccenter.exe. Nach der Installation imitiert das Programm das Windows-Sicherheitscenter und gibt falsche Virenwarnungen aus.

Damit wollen die Virenautoren den User zum Download des Windefender 2008 bewegen. Für das gefälschte Spyware Removal Tool soll der User 40 US-Dollar überweisen. Gleichzeitig schränkt die Malware die Internetverbindung des infizierten Rechners ein, sodass der Nutzer keine legitimen Webseiten mehr ansurfen kann.

„Die eingeschränkte Internetverbindung erlaubt nur noch den Download des Windefender 2008“, hat Googins herausgefunden. „Dadurch kann der Endnutzer kein echtes Antivirus-Programm mehr herunterladen, um die Infektion zu beseitigen.“

Der Malware-Fake und das echte Security-Center von Microsoft unterscheiden sich lediglich durch ein kleines Icon und einer Warnung, der “Windows Defender ist deaktiviert“. Googins befürchtet, dass viele PC-Nutzer ohne umfassendes Windows-Wissen auf den überzeugenden Fake hereinfallen könnten.

Zweiter Angriff innerhalb einer Woche

Damit waren Microsoft-Kunden in diesem Monat bereits zum zweiten Mal das Ziel von Malware-Autoren: Anfang der vergangenen Woche – und damit pünktlich zum Patchday – sollten fingierte E-Mails dem Empfänger Schadcode in Form gefälschter Security-Updates unterschieben.

Die falsche Notification-Mail entsprach nahezu der legitimen Version, die Microsoft im Vorfeld seiner Security-Updates an die Kunden verschickt. Statt der versprochenen Patches enthielt die Mail den Trojaner Backdoor.Haxdoor, der dem Angreifer zahlreiche Informationen über das infizierte System übermittelt.

Details zur Mail verrät Security Program Manager Cristopher Budd im Blog des Microsoft Security Response Centers: „Die Mail scheint von unserem Mitarbeiter Steve Lipner signiert zu sein und enthält der Vollständigkeit halber einen PGP-Signaturblock.“ Doch davon sollten sich User nicht täuschen lassen.

„Nie und nimmer würden wir unsere Security-Notification-Mails mit Anhängen versehen“, begründet Budd. „Denn bereits unsere Unternehmens-Richtlinien verbieten es uns, ausführbare Dateien zu versenden.“ Die Empfänger von Microsoft-Mails mit Anhang sollten diese umgehend löschen, denn „es ist grundsätzlich ein Schwindel.“

Bilder - SearchSecurity.de: IT-Security, Trojaner, Firewall, Antivirus, Netzwerksicherheit

uweli1967 · Registriert seit: 22.03.2008

Hi Dirk,
Genau so einen Fall hatte ich dieses Jahr erst bei mir. Ein Bekannter rief mich an und fragte mich ob er mit seinen Laptop zu mir kommen könne weil sein Internet Explorer spinne und er ständig eine grosse Warnung vom Security Center auf dem Bildschirm habe er solle sich die Kaufversion von "Antivirus 2008" kaufen und damit könne er die "Infektionen" auf seinen Laptop bereinigen. Nach Absprache mit ihm habe ich Format C gemacht,alles neu aufgespielt und ihm Avast,ThreatFire sowie PC-Tools-FW installiert. Es stellte sich auch heraus,dass seine Frau sich das Fake-Programm geladen und installiert hatte und somit die "Verursacherin" war.