Malware imitiert Windows Security Center

Falsche E-Mails und Trojaner-Warnungen locken Microsoft-Kunden

20.10.2008 | Redakteur: Stephan Augsten

Erneut zielt eine Malware-Attacke auf Microsoft-Kunden ab, dieses Mal in Gestalt des Windows Sicherheitscenters.
Erneut zielt eine Malware-Attacke auf Microsoft-Kunden ab, dieses Mal in Gestalt des Windows Sicherheitscenters.

Eine neuartige, via Trojaner verbreitete Malware gibt sich derzeit als Windows Security Center aus und täuscht den User mit falschen Virenwarnungen. Der Schadcode kann laut den Security-Forschern von Computer Associates zudem Registry-Einträge und kritische Systemeinstellungen wie die Proxy-Konfiguration manipulieren.

Im Security Advisor Research Blog des IT-Management-Spezialisten Computer Associates (CA) warnt der Senior Engineer Benjamin Googins vor der schädlichen Datei seccenter.exe. Nach der Installation imitiert das Programm das Windows-Sicherheitscenter und gibt falsche Virenwarnungen aus.

Damit wollen die Virenautoren den User zum Download des Windefender 2008 bewegen. Für das gefälschte Spyware Removal Tool soll der User 40 US-Dollar überweisen. Gleichzeitig schränkt die Malware die Internetverbindung des infizierten Rechners ein, sodass der Nutzer keine legitimen Webseiten mehr ansurfen kann.

„Die eingeschränkte Internetverbindung erlaubt nur noch den Download des Windefender 2008“, hat Googins herausgefunden. „Dadurch kann der Endnutzer kein echtes Antivirus-Programm mehr herunterladen, um die Infektion zu beseitigen.“

Der Malware-Fake und das echte Security-Center von Microsoft unterscheiden sich lediglich durch ein kleines Icon und einer Warnung, der “Windows Defender ist deaktiviert“. Googins befürchtet, dass viele PC-Nutzer ohne umfassendes Windows-Wissen auf den überzeugenden Fake hereinfallen könnten.

Zweiter Angriff innerhalb einer Woche

Damit waren Microsoft-Kunden in diesem Monat bereits zum zweiten Mal das Ziel von Malware-Autoren: Anfang der vergangenen Woche – und damit pünktlich zum Patchday – sollten fingierte E-Mails dem Empfänger Schadcode in Form gefälschter Security-Updates unterschieben.

Die falsche Notification-Mail entsprach nahezu der legitimen Version, die Microsoft im Vorfeld seiner Security-Updates an die Kunden verschickt. Statt der versprochenen Patches enthielt die Mail den Trojaner Backdoor.Haxdoor, der dem Angreifer zahlreiche Informationen über das infizierte System übermittelt.

Details zur Mail verrät Security Program Manager Cristopher Budd im Blog des Microsoft Security Response Centers: „Die Mail scheint von unserem Mitarbeiter Steve Lipner signiert zu sein und enthält der Vollständigkeit halber einen PGP-Signaturblock.“ Doch davon sollten sich User nicht täuschen lassen.

„Nie und nimmer würden wir unsere Security-Notification-Mails mit Anhängen versehen“, begründet Budd. „Denn bereits unsere Unternehmens-Richtlinien verbieten es uns, ausführbare Dateien zu versenden.“ Die Empfänger von Microsoft-Mails mit Anhang sollten diese umgehend löschen, denn „es ist grundsätzlich ein Schwindel.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2017269 / Malware)