Abo
  • Services:
Anzeige
So sehen die gefälschten MMS-Mails aus.
So sehen die gefälschten MMS-Mails aus. (Bild: Screenshot Golem.de)

Malware: Neuer E-Mail-Wurm tarnt sich als MMS von T-Mobile

So sehen die gefälschten MMS-Mails aus.
So sehen die gefälschten MMS-Mails aus. (Bild: Screenshot Golem.de)

Seit Dezember 2012 verbreiten sich vermeintliche MMS-Nachrichten, die von Vodafone-Anschlüssen kommen sollen. Jetzt sind die mit Malware verseuchten Mails auch mit T-Mobile-Logo versehen. Der angehängte Wurm wird nun von den meisten Virenscannern erkannt.

Diesmal helfen gegen die neue Malware nur die üblichen Regeln: Mails mit einem Anhang von einem unbekannten Absender sollten mit größter Vorsicht behandelt werden. Wie Golem.de anhand von Mustern des neuen Wurms ausprobieren konnte, wird er von den Scannern Eset Smart Security 5 und Norton Antivirus 2013 mit aktuellen Signaturen vom Nachmittag des 30. Januar 2013 nicht erkannt.

Anzeige

Der Wurm verbreitet sich über E-Mails, die eine MMS von einem T-Mobile-Handy vortäuschen. Allein die Tatsache, dass der Anhang eine ZIP-Datei ist, die in dem uns vorliegenden Fall " foto_{SYBOL}.zip" heißt, ist ungewöhnlich. Per Handy auf Mailaccounts verschickte MMS enthalten in der Regel ein nicht in ein Archiv verpacktes JPEG-Foto. In dem ZIP steckt, wie nicht anders zu erwarten, auch ein Programm. Unser Exemplar heißt "foto96905.jpg.exe"

  • Nur wenige Scanner entdeckten den Wurm am 30. Januar ...
  • ... am Morgen des 31. Januar sind es alle großen AV-Hersteller. (Scan: Virustotal, Screenshot: Golem.de)
Nur wenige Scanner entdeckten den Wurm am 30. Januar ...

Auch in dem Dateinamen verbirgt sich ein recht alter Trick von Malware-Verbreitern, denn in den Standardeinstellungen von Windows wird die Namenserweiterung ausgeblendet, der unbedarfte Anwender sieht also nur "foto96905.jpg" und denkt leicht, er hätte ein Bild vor sich, das nur noch angeklickt werden muss. Dass das Icon auf ein Programm hinweist oder die Namenserweiterung .jpg auf solchen Systemen gar nicht sichtbar sein sollte, fällt manchen Nutzern nicht sofort auf. Spätestens beim Doppelklick auf das vermeintliche Bild sollten aber die Warnfenster von Windows zum Ausführen eines unbekannten Programms stutzig machen.

Viele namhafte Virenscanner erkennen den Wurm noch nicht

Wer auch das ignoriert, kann sich nur noch auf seinen Virenscanner verlassen - aber bisher nur auf sehr wenige der verbreiteten Programme. Unser Muster, das wir bei Virustotal hochgeladen haben, wird nach einer Analyse des Dienstes nur von 8 von 46 Scannern erkannt. Neben Eset und Norton erkennen die Engines von Avast, AVG, Bitdefender, F-Secure und Kaspersky den Schädling bisher nicht. Antivir (Avira) und F-Prot sollen den Wurm laut der Analyse von Virustotal finden. Der folgende Link bezieht sich auf die Untersuchung unseres Musters, die Einträge dort können sich ändern, wenn mehr Scanner den Schädling erkennen.

Die Verfolgung der Namen des Wurms, der beispielsweise von AhnLab als "Worm/Win32.Stekct" bezeichnet wird, führt immerhin zu einem Malware-Eintrag von Microsoft, der den Schädling beschreibt - ob es sich wirklich um eine neue Variante des Schädlings handelt, der auch als "Skype Worm" bekannt ist, ist damit nicht sicher. Als wahrscheinlich kann das aber gelten, denn schon die seit Dezember 2012 als vermeintliche MMS von Vodafone verbreitete Malware basierte auf diesem seit Anfang 2012 bekannten Programm.

Der Wurm verteilt sich über Schwachstellen in alten Versionen von Instant-Messengern wie AIM, ICQ, Skype, Windows Live Messenger und Yahoo Messenger, sowie zusätzlich über Facebook. Dazu schickt er Nachrichten über die betroffenen Dienste an Einträge aus dem Adressbuch des Anwenders, die einen Link zu einem Download der Malware enthalten. Verbreitung und Tarnung durch Beenden von manchen Sicherheitsprozessen sind die einzigen Funktionen dieser bisherigen Version, dass inzwischen auch mehr Schaden angerichtet wird, ist nicht auszuschließen.

Ebenso ist gut möglich, dass sich hinter den in den Mails angegebenen deutschen Handynummern nichts Positives verbirgt. Wer eine solche Mail erhält, sollte also der Versuchung eines Anrufs widerstehen. Zumindest Werbeanrufe oder die Verwendung der eigenen Nummer für weitere Wurmmails sind recht wahrscheinlich, falls die in den Mails angegebenen Anschlüsse den Malware-Autoren gehören.

Nachtrag vom 31. Januar 2013, 9:35 Uhr

Inzwischen erkennen die am häufigsten eingesetzten Scanner den Wurm. Es handelt sich nicht, wie zuerst gemeldet, um den Skype-Wurm, sondern um eine meist als "Bebloh" bezeichnete Malware. Im deutschen Trojaner-Board wird der Wurm "Backdoor.Andromeda" genannt. Laut einer Analyse von Symantec verbreitet sich das Schadprogramm nicht selbst weiter, ändert aber Einstellungen des Internet Explorers und öffnet eine Backdoor, über die weitere Programme nachgeladen werden können.


eye home zur Startseite
Ben Dover 06. Feb 2013

Und hier werden auch von Profis die Artikel verfasst, die nicht merken das der wurm auf...



Anzeige

Stellenmarkt
  1. Detecon International GmbH, Köln
  2. censhare AG, München, Freiburg im Breisgau
  3. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  4. Landespolizeiamt Schleswig-Holstein, Kiel


Anzeige
Top-Angebote
  1. 147,89€ (Vergleichspreis ab 219€)
  2. 79,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  2. Kabelnetz Unitymedia hat neue Preise für Internetzugänge
  3. Deutsche TV-Plattform über VR "Ein langer Weg vom Wow-Effekt zum dauerhaften Format"

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

  1. Re: richtig so!

    Eheran | 01:36

  2. Re: Wirklich witzig

    laserbeamer | 01:34

  3. Re: Wie kann es so ein RoboRacer "übertreiben"?

    Vögelchen | 00:56

  4. Re: "keine besondere Laserpräzision notwendig"

    Johannes Kurz | 00:48

  5. Re: Verzicht

    Nielz | 00:40


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel