F-Secure warnt vor neuem Trojaner

"Xombe" gibt sich als Service Pack 1 für Windows XP aus

Sicherheitsexperte F-Secure warnt aktuell vor dem Trojaner Xombe, der sich seit heute stark verbreitet. Der Schädling tarnt sich als E-Mail-Nachricht von Microsoft mit dem Betreff „Windows XP Service Pack 1 (Express) – Critical Update“. In der E-Mail wird behauptet, dass auf dem Rechner eine Betaversion des Windows XP liefe. Daher empfehle Microsoft, die Beta Version zu entfernen und das Service Pack 1 für Windows XP neu zu installieren. Dafür müsse lediglich die Datei winxp_sp1.exe ausgeführt werden, die der Nachricht anhängt. Besonders heimtückisch ist, dass die User angewiesen werden, auf dem Rechner befindliche Antiviren-Software vor der Installation zu deaktivieren.

Sobald das Attachement gestartet wird, nimmt Xombe Verbindung mit dem Internet auf und lädt die Datei msvchost.exe – die Hauptkomponente des Trojaners – herunter. Diese Datei ist eine Downloader-Applikation, die über eine bestimmte Webseite kontrolliert wird und mit deren Hilfe weitere Dateien aus dem Internet auf den infizierten Rechner herunter geladen werden können.

Als Xombe zum ersten Mal abgefangen wurde, wies die Webseite die infizierten Clients an, die Datei http_f.dll herunter zu laden. Dieser http-Client wird offenbar genutzt, um eine Distributed Denial-of-Service Attacke gegen eine Webseite zu starten, die Foren unterhält.

Eine E-Mail-Nachricht, die Xombe enthält, sieht folgendermaßen aus:

„From:
windowsupdate@ microsoft.com

Subject:
Windows XP Service Pack 1 (Express) – Critical Update.

Window Update has determined that you are running a beta version
of Windows XP Service Pack 1 (SP1). To help improve the
stability of your computer, Microsoft recommends that you remove
the beta version of Windows XP SP1 and re-install Windows XP
SP1. If you cannot remove the beta version, you should
still reinstall Windows XP SP1.

Windows XP SP1 provides the latest security, reliability, and
performance updates to the Windows XP family of operating
systems. Windows XP SP1 is designed to ensure Windows XP
platform compatibility with newly released software and
hardware, and includes updates to resolve issues discovered by
customers or by Microsoft’s internal testing team.

The maximum download size is approximately 3 MB, however the
size of the download and time required may be less for computers
that have had updates previously installed.

To minimize the download time needed for installation, setup
will only download those files which are required to bring your
computer up to date. Windows XP SP1 includes Internet Explorer 6
SP1. Anti-virus software programs may interfere with the
installation of Windows XP SP1. Please disable anti-virus
software while installing the service pack.

Just run the file winxp_sp1.exe in attach and make sure
to restart your PC after installation will be completed.

(c) 2004 Microsoft Corporation. All rights reserved. Terms of
Use Privacy Statement“

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu F-Secure warnt vor neuem Trojaner

Kommentar hinzufügen
  • Am 10. Januar 2004 um 15:50 von Gelbmann Stephan

    Trojaner / Vieren
    Hallo,
    ich erhalte ca. 60 eMails pro Tag, mit dem Microsoftabsender, die im Anhang, verschiedene Vieren und Trojaner haben. (SvenA, Blaster..). Dies fing an, als ich in Microsoft Newsgroups (microsft.public.de.german.entwickler)Beiträge veröffentlichte. Mein VierenProgramm zeigt mir Gottseidank, bisher jedesmal die Gefahr an. Mein Provider, T-Online, leidet schön diese verseuchten eMails weiter und ist nicht in der Lage, diese Verbreitung zu verhindern. Bei Falschgeld, gibt es doch Formulierungen wie "wer Falschgeld verbreidet oder wissentlich Falschgeld weitergibt, wird mit… ", bestraft. Bei Vieren und Trojaner soll dies aber nicht gelten? Ein falscher 100der schadet nicht so sehr, wie ein verseuchter PC/Netwerk. Ihren Artikel fand ich sehr Gut, leider ändert sich ohne Druck von Medien, nichts. MfG Gelbmann Stephan, Dipl.-Math.

    • Am 12. Januar 2004 um 23:52 von chesare

      AW: Trojaner / Vieren
      gibt es ein update vom neuen vierus xombe

  • Am 12. Januar 2004 um 10:29 von Gustav

    Trojaner
    Wer immer noch glaubt, das Microsoft Updates und Servicepacks per Email verschickt, der sollte doch alle Anhänge der vermeintlichen MS-Mails herunterladen und installieren…

  • Am 12. Januar 2004 um 11:53 von M. Kesselring

    Für Anfänger gefährlich
    Das Gemeine an solchen Emails ist, daß Computeranfänger leicht auf solche "wichtigen" Informationen hereinfallen können und möglicherweise komplett verunsichert werden. Das führt dann dazu daß, lieber überhaupt keine Sicherheitspatches installiert werden. Damit haben die Versender der Trojaner auch irgendwie ihr Ziel erreicht. Was lehrt uns das? Jeder Neuling, der sich bei Aldi oder sonstwo mal eben schnell eine PC kauft, muß wissen, daß der Absprung ins Haifischbecken gleich in der Nähe ist und nicht extra abgesichert ist.

    • Am 13. Januar 2004 um 8:06 von Pat

      AW: Für Anfänger gefährlich
      Hallo zusammen, gestern Nacht meldet mir der AOL Virenschutz G Data, dass er eine infizierte Datei gefunden hätte. G Data bezeichnet den Virus mit "Backdoor:Win32/BBD.A.Drop" und hat diesen in meinem Brennprogramm gefunden. Ist das wirklich ein Virus? Habe nämlich diese Bezeichnung nirgendwo gefunden habe. Jeder Ratschlag wäre hilfreich. Gruß

  • Am 12. Januar 2004 um 12:07 von Hermann

    Trojaner Warnung
    Gut beschriebener Artikel, schnelle Reaktion con ZDNET.de. So ist man immer auf den laufenden, weiter so.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *