Advarer mot falsk Windows-oppdatering

En e-postmelding som nå sirkuleres inneholder informasjon om en angivelig Windows-oppdatering. Oppdateringen er egentlig en trojansk hest.

Det er Kruse Security som advarer mot den falske Windows-oppdareringen som nå sirkuleres. Det er egentlig snakk om en Internett-orm som sender ut e-post til ulike mottakere. Meldingen inneholder den følgende teksten:

"Dear Windows User!

New Windows 9x/2000/NT/XP critical patch has been released.

Due to security problems, your system needs to be updated as earlier as possible.

You can download an update patch on Windows Update site:

http://www.windows-update.com

Best regards, Windows Update Group"

Nettstedet det er snakk om, som ikke er det samme som Microsofts oppdateringsnettsted med URL-en http://windowsupdate.microsoft.com, utnytter et sikkerhethull i Internet Explorer som ble offentliggjort i begynnelsen av juni i år.

Når en går inn på nettstedet, åpnes en liten HTML-fil som blant annet inneholder en IFRAME-tagg.

Iframe'en blir forsøkt åpnet hele 3355 ganger i nettleseren, samtidig som filen update0932.exe eksekveres. Filen er pakket med UPX (Ultimate Packer

for eXecutables) og inneholder en trojansk hest som laster ned filen svsghost.exe fra en maskin med IP-adressen 38.115.134.3.

Denne filen skal ifølge Kruse Se inneholdeen IRC-bakdør av typen Sdbot. Ingen av filene skal foreløpig kunne detekteres med antivirusverktøy.

For å unngå å bli smittet, bør du først og fremst la være å klikke på lenken i e-posten. Dernest bør du installere alle oppdateringer til Internet Explorer og Windows. I tillegg, hvis du har tilgang på en brannmur, kan du sperre all tilgang til den nevnte IP-adressen.

Analysen av koden er ikke fullført. Oppdatert informasjon skal bli lagt på denne siden.

Til toppen