So sehen die gefälschten MMS-Mails aus.
So sehen die gefälschten MMS-Mails aus. (Bild: Screenshot Golem.de)

Malware Neuer E-Mail-Wurm tarnt sich als MMS von T-Mobile

Seit Dezember 2012 verbreiten sich vermeintliche MMS-Nachrichten, die von Vodafone-Anschlüssen kommen sollen. Jetzt sind die mit Malware verseuchten Mails auch mit T-Mobile-Logo versehen. Der angehängte Wurm wird nun von den meisten Virenscannern erkannt.

Anzeige

Diesmal helfen gegen die neue Malware nur die üblichen Regeln: Mails mit einem Anhang von einem unbekannten Absender sollten mit größter Vorsicht behandelt werden. Wie Golem.de anhand von Mustern des neuen Wurms ausprobieren konnte, wird er von den Scannern Eset Smart Security 5 und Norton Antivirus 2013 mit aktuellen Signaturen vom Nachmittag des 30. Januar 2013 nicht erkannt.

Der Wurm verbreitet sich über E-Mails, die eine MMS von einem T-Mobile-Handy vortäuschen. Allein die Tatsache, dass der Anhang eine ZIP-Datei ist, die in dem uns vorliegenden Fall " foto_{SYBOL}.zip" heißt, ist ungewöhnlich. Per Handy auf Mailaccounts verschickte MMS enthalten in der Regel ein nicht in ein Archiv verpacktes JPEG-Foto. In dem ZIP steckt, wie nicht anders zu erwarten, auch ein Programm. Unser Exemplar heißt "foto96905.jpg.exe"

  • Nur wenige Scanner entdeckten den Wurm am 30. Januar ...
  • ... am Morgen des 31. Januar sind es alle großen AV-Hersteller. (Scan: Virustotal, Screenshot: Golem.de)
Nur wenige Scanner entdeckten den Wurm am 30. Januar ...

Auch in dem Dateinamen verbirgt sich ein recht alter Trick von Malware-Verbreitern, denn in den Standardeinstellungen von Windows wird die Namenserweiterung ausgeblendet, der unbedarfte Anwender sieht also nur "foto96905.jpg" und denkt leicht, er hätte ein Bild vor sich, das nur noch angeklickt werden muss. Dass das Icon auf ein Programm hinweist oder die Namenserweiterung .jpg auf solchen Systemen gar nicht sichtbar sein sollte, fällt manchen Nutzern nicht sofort auf. Spätestens beim Doppelklick auf das vermeintliche Bild sollten aber die Warnfenster von Windows zum Ausführen eines unbekannten Programms stutzig machen.

Viele namhafte Virenscanner erkennen den Wurm noch nicht

Wer auch das ignoriert, kann sich nur noch auf seinen Virenscanner verlassen - aber bisher nur auf sehr wenige der verbreiteten Programme. Unser Muster, das wir bei Virustotal hochgeladen haben, wird nach einer Analyse des Dienstes nur von 8 von 46 Scannern erkannt. Neben Eset und Norton erkennen die Engines von Avast, AVG, Bitdefender, F-Secure und Kaspersky den Schädling bisher nicht. Antivir (Avira) und F-Prot sollen den Wurm laut der Analyse von Virustotal finden. Der folgende Link bezieht sich auf die Untersuchung unseres Musters, die Einträge dort können sich ändern, wenn mehr Scanner den Schädling erkennen.

Die Verfolgung der Namen des Wurms, der beispielsweise von AhnLab als "Worm/Win32.Stekct" bezeichnet wird, führt immerhin zu einem Malware-Eintrag von Microsoft, der den Schädling beschreibt - ob es sich wirklich um eine neue Variante des Schädlings handelt, der auch als "Skype Worm" bekannt ist, ist damit nicht sicher. Als wahrscheinlich kann das aber gelten, denn schon die seit Dezember 2012 als vermeintliche MMS von Vodafone verbreitete Malware basierte auf diesem seit Anfang 2012 bekannten Programm.

Der Wurm verteilt sich über Schwachstellen in alten Versionen von Instant-Messengern wie AIM, ICQ, Skype, Windows Live Messenger und Yahoo Messenger, sowie zusätzlich über Facebook. Dazu schickt er Nachrichten über die betroffenen Dienste an Einträge aus dem Adressbuch des Anwenders, die einen Link zu einem Download der Malware enthalten. Verbreitung und Tarnung durch Beenden von manchen Sicherheitsprozessen sind die einzigen Funktionen dieser bisherigen Version, dass inzwischen auch mehr Schaden angerichtet wird, ist nicht auszuschließen.

Ebenso ist gut möglich, dass sich hinter den in den Mails angegebenen deutschen Handynummern nichts Positives verbirgt. Wer eine solche Mail erhält, sollte also der Versuchung eines Anrufs widerstehen. Zumindest Werbeanrufe oder die Verwendung der eigenen Nummer für weitere Wurmmails sind recht wahrscheinlich, falls die in den Mails angegebenen Anschlüsse den Malware-Autoren gehören.

Nachtrag vom 31. Januar 2013, 9:35 Uhr

Inzwischen erkennen die am häufigsten eingesetzten Scanner den Wurm. Es handelt sich nicht, wie zuerst gemeldet, um den Skype-Wurm, sondern um eine meist als "Bebloh" bezeichnete Malware. Im deutschen Trojaner-Board wird der Wurm "Backdoor.Andromeda" genannt. Laut einer Analyse von Symantec verbreitet sich das Schadprogramm nicht selbst weiter, ändert aber Einstellungen des Internet Explorers und öffnet eine Backdoor, über die weitere Programme nachgeladen werden können.


Ben Dover 06. Feb 2013

Und hier werden auch von Profis die Artikel verfasst, die nicht merken das der wurm auf...

Kommentieren



Anzeige

  1. Systemspezialist Funksysteme (m/w)
    IABG Industrieanlagen-Betriebsgesellschaft mbH, Ottobrunn bei München
  2. Informatiker (m/w)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  3. Architect Cloud Platform / IaaS (m/w)
    Microsoft Deutschland GmbH, verschiedene Standorte
  4. Applikationsingenieur (m/w) für Mobilfunk-Messungen und Treibersoftware
    ROHDE & SCHWARZ GmbH & Co. KG, München

 

Detailsuche


Blu-ray-Angebote
  1. 2 TV-Serien auf Blu-ray für 30 EUR
    (u. a. Arrow, Person of Interest, Boardwalk Empire, Falling Skies, Shameless)
  2. Gravity - Diamond Luxe Edition [Blu-ray] [Limited Edition]
    12,99€ - Release 26.03.
  3. Jurassic Park 3 - Steelbook [Blu-ray] [Limited Edition]
    14,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Palinopsia Bug

    Das Gedächtnis der Grafikkarte auslesen

  2. Die Woche im Video

    Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei

  3. Xbox One

    Firmware-Update bringt Sprachnachrichten auf die Konsole

  4. Elektromobilitätsgesetz

    Bundesrat gibt Elektroautos mehr Freiheiten

  5. 2160p60

    Youtube startet fordernde 60-fps-Videos in scharfem 4K

  6. Nuclide

    Facebook stellt quelloffene IDE vor

  7. Test Borderlands Handsome Collection

    Pandora und Mond etwas schöner

  8. Net-a-Porter

    Amazon soll vor 2-Milliarden-Dollar-Übernahme stehen

  9. Fire TV mit neuer Firmware im Test

    Streaming-Box wird vielfältiger

  10. Knights Landing

    Die Xeon Phi beherbergt Intels bisher größten Chip



Haben wir etwas übersehen?

E-Mail an news@golem.de



Episode Duscae angespielt: Final Fantasy ist endlich wieder zeitgemäß
Episode Duscae angespielt
Final Fantasy ist endlich wieder zeitgemäß
  1. Test Final Fantasy Type-0 HD Chaos und Kampf

Galaxy S6 im Test: Lebe wohl, Kunststoff!
Galaxy S6 im Test
Lebe wohl, Kunststoff!
  1. Galaxy S6 Active Samsungs wasserdichtes Topsmartphone
  2. Galaxy S6 und S6 Edge Samsung meldet 20 Millionen Vorbestellungen
  3. Galaxy S6 und S6 Edge im Hands on Rund, schnell, teuer

Banana Pi M2 angesehen: Noch kein Raspberry-Pi-Killer
Banana Pi M2 angesehen
Noch kein Raspberry-Pi-Killer
  1. MIPS Creator CI20 angetestet Die Platine zum Pausemachen
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern

  1. Seit rund 10 Jahren bekannt

    Joe User | 12:46

  2. Re: Ähnlich wie Diablo 3 ?

    guzzty | 12:45

  3. Eben (#2) nichts neues..

    sidmos6581 | 12:44

  4. Re: Was ist eine Beschleunigerkarte?

    pythoneer | 12:42

  5. Re: Übersicht über Elektroauto-Vergütungen

    hope_74 | 12:29


  1. 10:55

  2. 09:02

  3. 17:09

  4. 15:52

  5. 15:22

  6. 14:24

  7. 14:00

  8. 13:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel