So sehen die gefälschten MMS-Mails aus.
So sehen die gefälschten MMS-Mails aus. (Bild: Screenshot Golem.de)

Malware Neuer E-Mail-Wurm tarnt sich als MMS von T-Mobile

Seit Dezember 2012 verbreiten sich vermeintliche MMS-Nachrichten, die von Vodafone-Anschlüssen kommen sollen. Jetzt sind die mit Malware verseuchten Mails auch mit T-Mobile-Logo versehen. Der angehängte Wurm wird nun von den meisten Virenscannern erkannt.

Anzeige

Diesmal helfen gegen die neue Malware nur die üblichen Regeln: Mails mit einem Anhang von einem unbekannten Absender sollten mit größter Vorsicht behandelt werden. Wie Golem.de anhand von Mustern des neuen Wurms ausprobieren konnte, wird er von den Scannern Eset Smart Security 5 und Norton Antivirus 2013 mit aktuellen Signaturen vom Nachmittag des 30. Januar 2013 nicht erkannt.

Der Wurm verbreitet sich über E-Mails, die eine MMS von einem T-Mobile-Handy vortäuschen. Allein die Tatsache, dass der Anhang eine ZIP-Datei ist, die in dem uns vorliegenden Fall " foto_{SYBOL}.zip" heißt, ist ungewöhnlich. Per Handy auf Mailaccounts verschickte MMS enthalten in der Regel ein nicht in ein Archiv verpacktes JPEG-Foto. In dem ZIP steckt, wie nicht anders zu erwarten, auch ein Programm. Unser Exemplar heißt "foto96905.jpg.exe"

  • Nur wenige Scanner entdeckten den Wurm am 30. Januar ...
  • ... am Morgen des 31. Januar sind es alle großen AV-Hersteller. (Scan: Virustotal, Screenshot: Golem.de)
Nur wenige Scanner entdeckten den Wurm am 30. Januar ...

Auch in dem Dateinamen verbirgt sich ein recht alter Trick von Malware-Verbreitern, denn in den Standardeinstellungen von Windows wird die Namenserweiterung ausgeblendet, der unbedarfte Anwender sieht also nur "foto96905.jpg" und denkt leicht, er hätte ein Bild vor sich, das nur noch angeklickt werden muss. Dass das Icon auf ein Programm hinweist oder die Namenserweiterung .jpg auf solchen Systemen gar nicht sichtbar sein sollte, fällt manchen Nutzern nicht sofort auf. Spätestens beim Doppelklick auf das vermeintliche Bild sollten aber die Warnfenster von Windows zum Ausführen eines unbekannten Programms stutzig machen.

Viele namhafte Virenscanner erkennen den Wurm noch nicht

Wer auch das ignoriert, kann sich nur noch auf seinen Virenscanner verlassen - aber bisher nur auf sehr wenige der verbreiteten Programme. Unser Muster, das wir bei Virustotal hochgeladen haben, wird nach einer Analyse des Dienstes nur von 8 von 46 Scannern erkannt. Neben Eset und Norton erkennen die Engines von Avast, AVG, Bitdefender, F-Secure und Kaspersky den Schädling bisher nicht. Antivir (Avira) und F-Prot sollen den Wurm laut der Analyse von Virustotal finden. Der folgende Link bezieht sich auf die Untersuchung unseres Musters, die Einträge dort können sich ändern, wenn mehr Scanner den Schädling erkennen.

Die Verfolgung der Namen des Wurms, der beispielsweise von AhnLab als "Worm/Win32.Stekct" bezeichnet wird, führt immerhin zu einem Malware-Eintrag von Microsoft, der den Schädling beschreibt - ob es sich wirklich um eine neue Variante des Schädlings handelt, der auch als "Skype Worm" bekannt ist, ist damit nicht sicher. Als wahrscheinlich kann das aber gelten, denn schon die seit Dezember 2012 als vermeintliche MMS von Vodafone verbreitete Malware basierte auf diesem seit Anfang 2012 bekannten Programm.

Der Wurm verteilt sich über Schwachstellen in alten Versionen von Instant-Messengern wie AIM, ICQ, Skype, Windows Live Messenger und Yahoo Messenger, sowie zusätzlich über Facebook. Dazu schickt er Nachrichten über die betroffenen Dienste an Einträge aus dem Adressbuch des Anwenders, die einen Link zu einem Download der Malware enthalten. Verbreitung und Tarnung durch Beenden von manchen Sicherheitsprozessen sind die einzigen Funktionen dieser bisherigen Version, dass inzwischen auch mehr Schaden angerichtet wird, ist nicht auszuschließen.

Ebenso ist gut möglich, dass sich hinter den in den Mails angegebenen deutschen Handynummern nichts Positives verbirgt. Wer eine solche Mail erhält, sollte also der Versuchung eines Anrufs widerstehen. Zumindest Werbeanrufe oder die Verwendung der eigenen Nummer für weitere Wurmmails sind recht wahrscheinlich, falls die in den Mails angegebenen Anschlüsse den Malware-Autoren gehören.

Nachtrag vom 31. Januar 2013, 9:35 Uhr

Inzwischen erkennen die am häufigsten eingesetzten Scanner den Wurm. Es handelt sich nicht, wie zuerst gemeldet, um den Skype-Wurm, sondern um eine meist als "Bebloh" bezeichnete Malware. Im deutschen Trojaner-Board wird der Wurm "Backdoor.Andromeda" genannt. Laut einer Analyse von Symantec verbreitet sich das Schadprogramm nicht selbst weiter, ändert aber Einstellungen des Internet Explorers und öffnet eine Backdoor, über die weitere Programme nachgeladen werden können.


Ben Dover 06. Feb 2013

Und hier werden auch von Profis die Artikel verfasst, die nicht merken das der wurm auf...

Kommentieren



Anzeige

  1. Gruppenleiter/-in Security und IT-Systeme
    Robert Bosch GmbH, Renningen
  2. Senior Software Tester / Testspezialist / Testberater / Senior Software Testconsultant (m/w)
    imbus AG, Möhrendorf (bei Erlangen) und München
  3. Datenspezialist (m/w) Geoinformationssysteme (GIS)
    PTV Planung Transport Verkehr AG, Karlsruhe
  4. Senior Javascript Frontend Developer (m/w)
    tresmo GmbH, Augsburg

 

Detailsuche


Folgen Sie uns
       


  1. Haftungsprivilegien

    Wann macht sich ein Hoster strafbar?

  2. Settop-Box

    Skys Streaming-Client ist der Roku 3

  3. Steam

    Square Enix weitet Geo-Lock bei Spielen aus

  4. Smartphone

    LGs 5-Zoll-Display hat einen 0,7 mm dünnen Rand

  5. Staatsanwaltschaft Dresden

    Öffentliche Fahndung nach Kinox.to-Betreiber

  6. Sicherheit

    Nacktscanner jetzt doch für deutsche Flughäfen

  7. HDMI-Handshake

    Firmware 2.0 lässt manche Playstation 4 verstummen

  8. Motorola

    Lenovo übernimmt Googles Smartphone-Sparte

  9. Osquery

    Systemüberwachung per SQL von Facebook

  10. Sicherheitslücke

    Drupal-Team warnt erneut vor Folgen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Moore's Law: Totgesagte schrumpfen länger
Moore's Law
Totgesagte schrumpfen länger

Samsung Galaxy Note 4 im Test: Ausdauerndes Riesen-Smartphone mit Top-Hardware
Samsung Galaxy Note 4 im Test
Ausdauerndes Riesen-Smartphone mit Top-Hardware
  1. Galaxy Note 4 4,5 Millionen verkaufte Geräte in einem Monat
  2. Samsung Galaxy Note 4 wird teurer und kommt früher
  3. Gapgate Spalt im Samsung Galaxy Note 4 ist gewollt

iPad Air 2 im Test: Toll, aber kein Muss
iPad Air 2 im Test
Toll, aber kein Muss
  1. Tablet Apple verdient am iPad Air 2 weniger als am Vorgänger
  2. iFixit iPad Air 2 - wehe, wenn es kaputtgeht
  3. iPad Air 2 Benchmark Apples A8X überrascht mit drei Prozessor-Kernen

    •  / 
    Zum Artikel