Schlechte Erkennung der Schädlinge von Wikipedia-Fälschung
Vor einer Woche versuchten Spammer, Wikipedias Ruf zur Verbreitung von Schädlingen zu nutzen. Die gefälschte Seite wurde jüngst wieder mit Spam beworben – viele Virenscanner erkennen die Schädlinge aber noch immer nicht.
Vergangene Woche warnten Spam-Mails vor dem Blaster-Wurm und versuchten, Wikipedias guten Ruf zur Verbreitung von Schädlingen zu nutzen. Die Wikipedia-Verantwortlichen hatten aber zügig die manipulierten Seiten bereinigt. Am gestrigen Dienstag wurde jedoch die externe Adresse, auf der schon zuvor die präparierten Downloads lagerten, mit Spam-Mails beworben. Die kriminellen Drahtzieher haben dort in der Zwischenzeit eine komplette Kopie des ursprünglichen Wikipedia-Artikels abgelegt. Eine Grafik wurde jedoch von den Wikipedia-Servern nachgeladen, woraufhin die Wikipedia-Administratoren mittels Referer-Überprüfung eine Warngrafik anstatt des Wikipedia-Logos auslieferten.
Die gefälschte Seite ist teilweise noch erreichbar, allerdings scheinen einige Provider die DNS-Auflösung dafür zu blockieren. Beim Ansurfen der Seite wird nun nicht mehr die eingegebene Adresse angezeigt, sondern der vollständige Hostname des Servers, auf dem die Seite lagert. Die Wikipedianer versuchen derzeit, an die Domain zu kommen, die die Schadsoftwarebastler registriert haben.
Die angebotenen, manipulierten Patches auf der gefälschten Seite wurden bis gestern Nachmittag von keinem einzigen Virenscanner erkannt. Erst nachdem heise Security Samples an mehrere Antivirenhersteller verschickt hat, kamen mit einigen Stunden Verzögerung die ersten Signatur-Updates heraus, mit denen die Trojaner erkannt und gelöscht werden können.
Am heutigen Mittwochmorgen erkennen lediglich die Virenscanner AntiVir, AVG, ClamAV, F-Prot, Kaspersky und Microsoft OneCare den Schädling, die anderen Scanner, die Virustotal einsetzt, sind dafür noch immer blind. Über die Verbreitung der Schadsoftware gibt es noch keine Erkenntnisse. Da die Virenscanner jedoch durch die Bank ihr O. K. für die Datei gegeben haben, dürften zahlreiche weniger misstrauische Anwender auf die Spam-Mails hereingefallen sein.
Der Schädling enthält nach bisherigen Erkenntnissen den originalen Patch von Microsoft in dem in der Datei eingebetteten Archiv. Lediglich die Routinen zum Extrahieren des CAB-Archives wurden verändert. Bei der Ausführung wurden unter anderem neue Benutzerkonten auf dem Rechner angelegt. Es handelt sich um einen so genannten Trojan-Dropper, also einem Schädling, der ein Trojanisches Pferd auf dem Rechner ablegt und ausführt. Welche Schadroutinen der abgelegte Trojaner besitzt, ist bislang aber ebenfalls noch unklar. (dmk)
