Abo
  • Services:

Malware: Neuer E-Mail-Wurm tarnt sich als MMS von T-Mobile

Seit Dezember 2012 verbreiten sich vermeintliche MMS-Nachrichten, die von Vodafone-Anschlüssen kommen sollen. Jetzt sind die mit Malware verseuchten Mails auch mit T-Mobile-Logo versehen. Der angehängte Wurm wird nun von den meisten Virenscannern erkannt.

Artikel veröffentlicht am ,
So sehen die gefälschten MMS-Mails aus.
So sehen die gefälschten MMS-Mails aus. (Bild: Screenshot Golem.de)

Diesmal helfen gegen die neue Malware nur die üblichen Regeln: Mails mit einem Anhang von einem unbekannten Absender sollten mit größter Vorsicht behandelt werden. Wie Golem.de anhand von Mustern des neuen Wurms ausprobieren konnte, wird er von den Scannern Eset Smart Security 5 und Norton Antivirus 2013 mit aktuellen Signaturen vom Nachmittag des 30. Januar 2013 nicht erkannt.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Der Wurm verbreitet sich über E-Mails, die eine MMS von einem T-Mobile-Handy vortäuschen. Allein die Tatsache, dass der Anhang eine ZIP-Datei ist, die in dem uns vorliegenden Fall " foto_{SYBOL}.zip" heißt, ist ungewöhnlich. Per Handy auf Mailaccounts verschickte MMS enthalten in der Regel ein nicht in ein Archiv verpacktes JPEG-Foto. In dem ZIP steckt, wie nicht anders zu erwarten, auch ein Programm. Unser Exemplar heißt "foto96905.jpg.exe"

  • Nur wenige Scanner entdeckten den Wurm am 30. Januar ...
  • ... am Morgen des 31. Januar sind es alle großen AV-Hersteller. (Scan: Virustotal, Screenshot: Golem.de)
Nur wenige Scanner entdeckten den Wurm am 30. Januar ...

Auch in dem Dateinamen verbirgt sich ein recht alter Trick von Malware-Verbreitern, denn in den Standardeinstellungen von Windows wird die Namenserweiterung ausgeblendet, der unbedarfte Anwender sieht also nur "foto96905.jpg" und denkt leicht, er hätte ein Bild vor sich, das nur noch angeklickt werden muss. Dass das Icon auf ein Programm hinweist oder die Namenserweiterung .jpg auf solchen Systemen gar nicht sichtbar sein sollte, fällt manchen Nutzern nicht sofort auf. Spätestens beim Doppelklick auf das vermeintliche Bild sollten aber die Warnfenster von Windows zum Ausführen eines unbekannten Programms stutzig machen.

Viele namhafte Virenscanner erkennen den Wurm noch nicht

Wer auch das ignoriert, kann sich nur noch auf seinen Virenscanner verlassen - aber bisher nur auf sehr wenige der verbreiteten Programme. Unser Muster, das wir bei Virustotal hochgeladen haben, wird nach einer Analyse des Dienstes nur von 8 von 46 Scannern erkannt. Neben Eset und Norton erkennen die Engines von Avast, AVG, Bitdefender, F-Secure und Kaspersky den Schädling bisher nicht. Antivir (Avira) und F-Prot sollen den Wurm laut der Analyse von Virustotal finden. Der folgende Link bezieht sich auf die Untersuchung unseres Musters, die Einträge dort können sich ändern, wenn mehr Scanner den Schädling erkennen.

Die Verfolgung der Namen des Wurms, der beispielsweise von AhnLab als "Worm/Win32.Stekct" bezeichnet wird, führt immerhin zu einem Malware-Eintrag von Microsoft, der den Schädling beschreibt - ob es sich wirklich um eine neue Variante des Schädlings handelt, der auch als "Skype Worm" bekannt ist, ist damit nicht sicher. Als wahrscheinlich kann das aber gelten, denn schon die seit Dezember 2012 als vermeintliche MMS von Vodafone verbreitete Malware basierte auf diesem seit Anfang 2012 bekannten Programm.

Der Wurm verteilt sich über Schwachstellen in alten Versionen von Instant-Messengern wie AIM, ICQ, Skype, Windows Live Messenger und Yahoo Messenger, sowie zusätzlich über Facebook. Dazu schickt er Nachrichten über die betroffenen Dienste an Einträge aus dem Adressbuch des Anwenders, die einen Link zu einem Download der Malware enthalten. Verbreitung und Tarnung durch Beenden von manchen Sicherheitsprozessen sind die einzigen Funktionen dieser bisherigen Version, dass inzwischen auch mehr Schaden angerichtet wird, ist nicht auszuschließen.

Ebenso ist gut möglich, dass sich hinter den in den Mails angegebenen deutschen Handynummern nichts Positives verbirgt. Wer eine solche Mail erhält, sollte also der Versuchung eines Anrufs widerstehen. Zumindest Werbeanrufe oder die Verwendung der eigenen Nummer für weitere Wurmmails sind recht wahrscheinlich, falls die in den Mails angegebenen Anschlüsse den Malware-Autoren gehören.

Nachtrag vom 31. Januar 2013, 9:35 Uhr

Inzwischen erkennen die am häufigsten eingesetzten Scanner den Wurm. Es handelt sich nicht, wie zuerst gemeldet, um den Skype-Wurm, sondern um eine meist als "Bebloh" bezeichnete Malware. Im deutschen Trojaner-Board wird der Wurm "Backdoor.Andromeda" genannt. Laut einer Analyse von Symantec verbreitet sich das Schadprogramm nicht selbst weiter, ändert aber Einstellungen des Internet Explorers und öffnet eine Backdoor, über die weitere Programme nachgeladen werden können.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. 5,99€
  3. 34,99€ (erscheint am 15.02.)
  4. (-91%) 1,79€

Ben Dover 06. Feb 2013

Und hier werden auch von Profis die Artikel verfasst, die nicht merken das der wurm auf...


Folgen Sie uns
       


Dell XPS 13 (9380) - Hands on (CES 2019)

Wir haben uns Dells neues XPS 13 auf der CES 2019 angesehen.

Dell XPS 13 (9380) - Hands on (CES 2019) Video aufrufen
CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  2. Mobilität Das Auto der Zukunft ist modular und wandelbar
  3. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant

Mobilität: Überrollt von Autos
Mobilität
Überrollt von Autos

CES 2019 Die Consumer Electronic Show entwickelt sich immer stärker zu einer Mobilitätsmesse. Größere Fernseher und leichtere Laptops sind zwar noch ein Thema, doch die Stars in Las Vegas haben Räder.
Ein Bericht von Dirk Kunde

  1. Link Bar JBL bringt Soundbar mit eingebautem Android TV doch noch
  2. Streaming LG und Sony bringen Airplay 2 nur auf neue Smart-TVs
  3. Master Series ZG9 Sony stellt seinen ersten 8K-Fernseher vor

Kaufberatung: Die richtige CPU und Grafikkarte
Kaufberatung
Die richtige CPU und Grafikkarte

Bei PC-Hardware gab es 2018 viele Neuerungen: AMD hat 32 CPU-Kerne etabliert, Intel verkauft immerhin acht Cores statt vier und Nvidias Turing-Grafikkarten folgten auf die zwei Jahre alten Pascal-Modelle. Wir beraten bei Komponenten und geben einen Ausblick auf die kommenden Monate.
Von Marc Sauter

  1. Fujian Jinhua USA verhängen Exportverbot gegen chinesischen DRAM-Fertiger
  2. Halbleiter China pumpt 47 Milliarden US-Dollar in eigene Chip-Industrie
  3. Dell Neue Optiplex-Systeme in drei Größen und mit Dual-GPUs

    •  /