Malware Neuer E-Mail-Wurm tarnt sich als MMS von T-Mobile

Seit Dezember 2012 verbreiten sich vermeintliche MMS-Nachrichten, die von Vodafone-Anschlüssen kommen sollen. Jetzt sind die mit Malware verseuchten Mails auch mit T-Mobile-Logo versehen. Der angehängte Wurm wird nun von den meisten Virenscannern erkannt.

Anzeige

Diesmal helfen gegen die neue Malware nur die üblichen Regeln: Mails mit einem Anhang von einem unbekannten Absender sollten mit größter Vorsicht behandelt werden. Wie Golem.de anhand von Mustern des neuen Wurms ausprobieren konnte, wird er von den Scannern Eset Smart Security 5 und Norton Antivirus 2013 mit aktuellen Signaturen vom Nachmittag des 30. Januar 2013 nicht erkannt.

Der Wurm verbreitet sich über E-Mails, die eine MMS von einem T-Mobile-Handy vortäuschen. Allein die Tatsache, dass der Anhang eine ZIP-Datei ist, die in dem uns vorliegenden Fall " foto_{SYBOL}.zip" heißt, ist ungewöhnlich. Per Handy auf Mailaccounts verschickte MMS enthalten in der Regel ein nicht in ein Archiv verpacktes JPEG-Foto. In dem ZIP steckt, wie nicht anders zu erwarten, auch ein Programm. Unser Exemplar heißt "foto96905.jpg.exe"

Auch in dem Dateinamen verbirgt sich ein recht alter Trick von Malware-Verbreitern, denn in den Standardeinstellungen von Windows wird die Namenserweiterung ausgeblendet, der unbedarfte Anwender sieht also nur "foto96905.jpg" und denkt leicht, er hätte ein Bild vor sich, das nur noch angeklickt werden muss. Dass das Icon auf ein Programm hinweist oder die Namenserweiterung .jpg auf solchen Systemen gar nicht sichtbar sein sollte, fällt manchen Nutzern nicht sofort auf. Spätestens beim Doppelklick auf das vermeintliche Bild sollten aber die Warnfenster von Windows zum Ausführen eines unbekannten Programms stutzig machen.

Viele namhafte Virenscanner erkennen den Wurm noch nicht

Wer auch das ignoriert, kann sich nur noch auf seinen Virenscanner verlassen - aber bisher nur auf sehr wenige der verbreiteten Programme. Unser Muster, das wir bei Virustotal hochgeladen haben, wird nach einer Analyse des Dienstes nur von 8 von 46 Scannern erkannt. Neben Eset und Norton erkennen die Engines von Avast, AVG, Bitdefender, F-Secure und Kaspersky den Schädling bisher nicht. Antivir (Avira) und F-Prot sollen den Wurm laut der Analyse von Virustotal finden. Der folgende Link bezieht sich auf die Untersuchung unseres Musters, die Einträge dort können sich ändern, wenn mehr Scanner den Schädling erkennen.

Die Verfolgung der Namen des Wurms, der beispielsweise von AhnLab als "Worm/Win32.Stekct" bezeichnet wird, führt immerhin zu einem Malware-Eintrag von Microsoft, der den Schädling beschreibt - ob es sich wirklich um eine neue Variante des Schädlings handelt, der auch als "Skype Worm" bekannt ist, ist damit nicht sicher. Als wahrscheinlich kann das aber gelten, denn schon die seit Dezember 2012 als vermeintliche MMS von Vodafone verbreitete Malware basierte auf diesem seit Anfang 2012 bekannten Programm.

Der Wurm verteilt sich über Schwachstellen in alten Versionen von Instant-Messengern wie AIM, ICQ, Skype, Windows Live Messenger und Yahoo Messenger, sowie zusätzlich über Facebook. Dazu schickt er Nachrichten über die betroffenen Dienste an Einträge aus dem Adressbuch des Anwenders, die einen Link zu einem Download der Malware enthalten. Verbreitung und Tarnung durch Beenden von manchen Sicherheitsprozessen sind die einzigen Funktionen dieser bisherigen Version, dass inzwischen auch mehr Schaden angerichtet wird, ist nicht auszuschließen.

Ebenso ist gut möglich, dass sich hinter den in den Mails angegebenen deutschen Handynummern nichts Positives verbirgt. Wer eine solche Mail erhält, sollte also der Versuchung eines Anrufs widerstehen. Zumindest Werbeanrufe oder die Verwendung der eigenen Nummer für weitere Wurmmails sind recht wahrscheinlich, falls die in den Mails angegebenen Anschlüsse den Malware-Autoren gehören.

Nachtrag vom 31. Januar 2013, 9:35 Uhr

Inzwischen erkennen die am häufigsten eingesetzten Scanner den Wurm. Es handelt sich nicht, wie zuerst gemeldet, um den Skype-Wurm, sondern um eine meist als "Bebloh" bezeichnete Malware. Im deutschen Trojaner-Board wird der Wurm "Backdoor.Andromeda" genannt. Laut einer Analyse von Symantec verbreitet sich das Schadprogramm nicht selbst weiter, ändert aber Einstellungen des Internet Explorers und öffnet eine Backdoor, über die weitere Programme nachgeladen werden können.

Kommentarübersicht
Re: Viele Engines erkennen den Wurm nicht
Ben Dover 06. Feb 2013

Und hier werden auch von Profis die Artikel verfasst, die nicht merken das der wurm auf...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. ERP-Systembetreuer (m/w)
    LMC Caravan GmbH & Co. KG, Sassenberg
  2. Head of Development (m/w)
    aboutbooks GmbH, München
  3. Akademische Räte / Rätinnen
    Universität Passau, Passau
  4. Head Technical Customer Implementation (m/w)
    Wirecard Technologies GmbH, Aschheim bei München

 

Detailsuche

Folgen Sie uns
       
Videos
Neuerungen der Google-Suche Neuerungen der Google-Suche
Ticker
  1. Ventus

    Mit der Netzgemeinde gegen den Klimawandel

  2. Offline-Karten-App für Android

    Maps With Me Pro gratis in Amazons App-Shop

  3. Linux-Kernel

    P-States verringern Leistungsaufnahme auf Intel-CPUs

  4. Adobe

    Photoshop Express jetzt auch für Windows 8

  5. Browser

    Firefox blinkt nicht mehr

  6. Tallinn-Manual

    Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

  7. Clark Asay

    Defensive Patente mit freier Software nicht vereinbar?

  8. Massenentlassung

    Überleben von Rapidshare steht infrage

  9. Razer Atrox

    Arcade- und Mod-Controller für die Xbox 360

  10. Opensuse

    Erster Milestone für Opensuse 13.1

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Politik/Recht
Bundestags-LAN: Rösler will Spiele-Champions
Bundestags-LAN
Rösler will Spiele-Champions

Wirtschaftsminister Rösler bekennt sich bei einer Gaming-Veranstaltung im Bundestag ausdrücklich zu Großproduktionen aus Deutschland - und erzählt, welchen Heimcomputer-Klassiker er als Jugendlicher hatte.

  1. Apple-Patent Mac und iPad hören es kratzen und klopfen
  2. Verfassungsgericht Anti-Terror-Datei ist in Teilen verfassungswidrig
  3. 2. Politiker-LAN Der Bundestag spielt wieder
Larry Page
Larry Page: "Microsoft will uns ausnutzen"
Larry Page
"Microsoft will uns ausnutzen"

Larry Page hat sich darüber beschwert, dass Microsoft bei Chatprogrammen kleingeistig sei, und sich für Interoperabilität eingesetzt. "Das ist wirklich traurig, so ist kein Fortschritt möglich", sagte er auf der Entwicklerkonferenz Google I/O.

  1. Google-Chef Larry Page leidet an einer Stimmbandlähmung
  2. Eric Schmidt Google Glass kommt später
  3. Multiscreen-Welt Google macht 3,35 Milliarden US-Dollar Gewinn
Games
Homosexualität in Spielen: Bug oder Feature?
Homosexualität in Spielen
Bug oder Feature?

Im Spiel Tomodachi Collection: New Life für den Nintendo 3DS ist es möglich, dass Männer einander heiraten. Nintendo bezeichnet das als Bug - und erntet dafür Empörung.

  1. Strategiespiel HTML5-Version von Freeciv veröffentlicht
  2. Shadow of the Eternals 1,5 Millionen US-Dollar für vier Stunden langen Auftakt
  3. Dokumentarfilm Frauenfeindlichkeit in der Spieleszene
Forumsbeiträge »
  1. Browser Firefox blinkt nicht mehr

    Re: Stern-Kopf

    Max-M | 03:03

  2. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom

    Re: Wir haben die Netze bezahlt -- dann sollten...

    Tzven | 03:02

  3. Smartphone mit Moral Vorverkauf des Fairphones beginnt

    Re: Damit hat das Thema "Fair" zu tun:

    T-design | 02:58

  4. Linux-Kernel P-States verringern Leistungsaufnahme auf Intel-CPUs

    Re: Schön

    Tzven | 02:43

  5. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom

    Re: Recht hat er.

    DrWatson | 02:32

Ticker »
  1. Ventus Mit der Netzgemeinde gegen den Klimawandel

    14:00

  2. Offline-Karten-App für Android Maps With Me Pro gratis in Amazons App-Shop

    12:39

  3. Linux-Kernel P-States verringern Leistungsaufnahme auf Intel-CPUs

    10:41

  4. Adobe Photoshop Express jetzt auch für Windows 8

    10:05

  5. Browser Firefox blinkt nicht mehr

    10:02

  6. Tallinn-Manual Regierung äußert sich zu Nato-Regeln zum Töten von Hackern

    19:40

  7. Clark Asay Defensive Patente mit freier Software nicht vereinbar?

    18:24

  8. Massenentlassung Überleben von Rapidshare steht infrage

    16:44

Zum Artikel