eMail-Wurm gibt sich als MS-Sicherheits-Update aus
Schon wieder ist ein neuer eMail-Wurm im Umlauf. Er verbreitet sich via eMail und benutzt dazu die im Microsoft Outlook Adressbuch gefundenen Adressen. Sein Name lautet Worm/Gibe und er gibt sich als offizielles Microsoft-Sicherheits-Update aus.
Der Betreff der wurmigen eMail lautet: „Microsoft Security Update“. Als Nachricht enthält der Wurm folgenden Text:
Microsoft Customer,
This is the latest version of security update...
Attachment: q216309.exe
Wenn man das vermeintliche Update installiert, wird dabei der Virus im System verankert. Er kopiert die folgenden Dateien in das Windows- bzw. Winnt-Verzeichnis: BCTOOL.EXE, Q216309.EXE, 02_N803.DAT, GFXACC.EXE. Ausserdem werden der Registry folgende Einträge hinzugefügt, welche bewirken, dass der Virus und der zugehörige Trojaner schon beim Systemstart geladen werden:
- Virus: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoadDBackUp=C:WindowsBcTool.exe
- Trojaner: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun3Dfx Acc=C:WindowsGFXacc.exe
Wobei die Pfadangaben je nach Windows-Installationsverzeichnis natürlich variieren können.
Nach dem angeblichen Sicherheits-Update bekommt der ahnungslose Benutzer folgende Meldung zu Gesicht:
Like other trojans, the dropped backdoor (GFXACC.EXE) would
potentially allow someone with malicious intent backdoor access
to your computer. Additionally, in order to gather the needed
information for replication the following registry directory is
created with the dropped registry keys:
Directory: HKEY_LOCAL_MACHINESoftwareAVTech
Keys: HKEY_LOCAL_MACHINESoftwareAVTechSettings
Installed= ...by Begbie
Default=(default information)
Welche Informationen der Trojaner vom betroffenen Rechner ausspäht an wen er sie übermittelt ist zur Stunde noch unbekannt.