Wurm tarnt sich als Microsoft-Update

Andreas Frischholz
24 Kommentare

Der britische Security-Spezialist Sophos warnt vor einer gefälschten Windows-Update-Seite, die anstelle eines Updates einen Trojaner auf den Rechner lädt. Virenautoren haben sich den kommenden Patch-Day von Microsoft zu nutze gemacht, und eine E-Mail mit einem Link und einem Update-Hinweis in Umlauf gebracht.

Troj/DSNX-05 ist ein Backdoor-Trojaner, der als Serverprozess im Hintergrund läuft. Dadurch erhält ein Remote-Benutzer mit Hilfe eines Client-Programms laut Sophos Zugriff auf den Rechner. Wird der Malicious Code ausgeführt, kopiert sich der Wurm zuerst mit dem Namen einer zufällig ausgewählten .dll-Datei und einer .exe-Erweiterung (Wupdate-20050401.exe) in das Windows-Systemverzeichnis.

Zum Abschluss erstellt er einen Registrierungseintrag, so dass er bei jedem Neustart des Rechners aktiviert wird. Laut Sophos tragen die E-Mails den Absender update@microsoft.com. Die Betreffzeile enthält den Text „Update your Windows machine“, „Urgent Windows Update“ oder „Important Windows Update“.