Suchen

Spammer nutzen Ruf von Conficker und Antivirus-Hersteller Name und Removal-Tool von Symantec für Spam-Kampagne missbraucht

| Redakteur: Stephan Augsten

Grammatik und Rechtschreibung zählen bekanntermaßen nicht zu den Stärken von Spam-Versendern. Aber zumindest sollte ihnen doch der Name von Conficker bekannt sein?! „Symantec nicht imstande Conflicker zu erkennen“, behauptet eine aktuelle Spam-Kampagne, deren Urheber offenbar auf den Bekanntheitsgrad des Antivirus-Spezialisten und des Netzwerk-Wurms bauen.

Firmen zum Thema

Versender aktueller Spam-Mails nutzen den Ruf und ein Removal-Tool von Symantec, um einen Trojaner zu verbreiten.
Versender aktueller Spam-Mails nutzen den Ruf und ein Removal-Tool von Symantec, um einen Trojaner zu verbreiten.
( Archiv: Vogel Business Media )

Aktuellen Spam-E-Mails zufolge arbeitet der Security-Hersteller Symantec zusammen mit Microsoft an einem Patch gegen „Conflicker“, der auch als Troj/Brisv.A bekannt sei. Conficker/Downadup und der Trojaner Brisv haben allerdings nichts miteinander zu tun, schreibt Symantec in seinem Security-Response-Blog, in dem es auf die Spam-Kamapagne hinweist.

Dreist genug, dass die Spam-Versender den Namen des Antivirus-Herstellers missbrauchen, um User zum Öffnen der bösartigen E-Mails zu verleiten. Doch zusätzlich haben sie das Symantec Removal-Tool für die Brisv-Malware um eigenen Schadcode erweitert und der Spam-Mail als „remtool_conf.exe“ angehängt.

Sofern ein Anwender das manipulierte Tool ausführt, erscheint zunächst einmal die originale EULA-Meldung von Symantec. Mit dem Klick auf „Einverstanden“ wird im Hintergrund jedoch nicht nur das Removal-Tool in einen temporären Ordner gelegt, sondern zusätzlich ein Trojaner.

Während das originale Brisv-Fixtool gestartet wird, lädt der Trojaner weitere Malware aus dem Internet herunter, die als „winupdate.exe“ getarnt ist. Die Produkte von Symantec stufen diesen Schadcode als Suspicious.MH690.A ein.

Der betroffene Security-Hersteller empfiehlt deshalb dringend, solchen E-Mails keinen Glauben zu schenken. Bei Bedarf sollten Anwender und Administratoren die Fix- und Removal-Tools direkt von der Symantec-Homepage herunterladen.

(ID:2022394)