News : eMail-Wurm gibt sich als MS-Sicherheits-Update aus

, 1 Kommentar

Schon wieder ist ein neuer eMail-Wurm im Umlauf. Er verbreitet sich via eMail und benutzt dazu die im Microsoft Outlook Adressbuch gefundenen Adressen. Sein Name lautet Worm/Gibe und er gibt sich als offizielles Microsoft-Sicherheits-Update aus:

Der Betreff der wurmigen eMail lautet: „Microsoft Security Update“. Als Nachricht enthält der Wurm folgenden Text:

Microsoft Customer,

This is the latest version of security update...

Attachment: q216309.exe

Wenn man das vermeintliche Update installiert, wird dabei der Virus im System verankert. Er kopiert die folgenden Dateien in das Windows- bzw. Winnt-Verzeichnis: BCTOOL.EXE, Q216309.EXE, 02_N803.DAT, GFXACC.EXE. Ausserdem werden der Registry folgende Einträge hinzugefügt, welche bewirken, dass der Virus und der zugehörige Trojaner schon beim Systemstart geladen werden:

  • Virus: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoadDBackUp=C:WindowsBcTool.exe
  • Trojaner: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun3Dfx Acc=C:WindowsGFXacc.exe

Wobei die Pfadangaben je nach Windows-Installationsverzeichnis natürlich variieren können.

Nach dem angeblichen Sicherheits-Update bekommt der ahnungslose Benutzer folgende Meldung zu Gesicht:

Like other trojans, the dropped backdoor (GFXACC.EXE) would potentially allow someone with malicious intent backdoor access to your computer. Additionally, in order to gather the needed information for replication the following registry directory is created with the dropped registry keys:

Directory: HKEY_LOCAL_MACHINESoftwareAVTech

Keys: HKEY_LOCAL_MACHINESoftwareAVTechSettings Installed= ...by Begbie Default=(default information)

Welche Informationen der Trojaner vom betroffenen Rechner ausspäht an wen er sie übermittelt ist zur Stunde noch unbekannt.