Kruse Security advarer mod falsk Microsoft Opdatering!
Navnet "W32.Ifud.worm" vil ændre sig i takt med antivirus producenternes
almindelige navngivningspolitik.
En SPAM mail, som indeholder oplysninger om en kritisk opdatering fra Microsoft,
er i omløb. Mailen henviser brugeren til en hjemmeside, som automatisk forsøger
at plante ondsindet kode på et ikke opdateret Microsoft Windows system.
Hjemmesiden udnytter en svaghed i Internet Explorer: "Cumulative Patch for
Internet Explorer (818529)", som blev frigivet d. 4. Juni 2003:
http://www.microsoft.com/technet/security/bulletin/MS03-020.asp
Det anbefales, at blokkere adgang til hjemmesiden:
http://www.windows-update.com. Det kan ske i en central firewall.
Nysgerrige brugere bør ikke klik på dette link, da den kan aktivere koden uden
at brugeren tillader det.
Mailen indeholder følgende tekst:
Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been released.
Due to security problems, your system needs to be updated as earlier as possible.
You can download an update patch on Windows Update site:
http://www.windows-update.com
Best regards, Windows Update Group
På hjemmesiden befinder sig et meget stort antal Iframes, som henviser til en fil,
som befinder sig på domænet windows-update.com. Der er tale om ikke færre end 3355
Iframes som åbner nye vinduer i browseren.
Siden indeholder:
<html>
<head>
<title>Microsoft Update</title>
</head>
<iframe src="update0932.exe"> (hvor Iframen er kopieret 3354 gange).
Filen "update0932.exe" som forsøges afviklet, er pakket med UPX (Ultimate Packer
for eXecutables) og indeholder en trojan downloader. Denne peger på IP adressen:
38.115.134.3 (som læses fra en droppet fil), hvor der hentes yderligere en fil
(svsghost.exe). Denne indeholder en IRC bagdør af typen Sdbot. Ingen af disse
filer detektes af antivirus programmer.
Kruse Security analyserer i øjeblikket koden og vil poste opdateringer
på følgende URL:
http://www.krusesecurity.dk/advisories/ifud-worm.txt