Trojaner im gefälschten Office 2010-Patch

Auf der Internetseite von viren-ticker.de habe ich heute eine Warnung für Nutzer von Microsoft Office gefunden.

Die Warnung ist zwar vom 26.10.2010, der Trojaner soll aber wohl wieder im Umlauf sein.

Per eMail und angeblich vom Microsoft, soll zur Zeit ein gefälschter Office2010-Patch mit dem Trojaner Badware12 im Anhang unterwegs sein. Versprochen wird ein kritisches Update, beim starten der Datei aus dem Anhang wird dem Anwender aber ein Trojaner untergeschoben.

Laut viren-ticker.de hat die E-Mail folgendes Aussehen

Betreff: „Critical Microsoft Update“.

E-Mail-Text: „You are receiving a critical update from Microsoft…”

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe

An dieser Stelle noch einmal der Hinweis:

Microsoft verschickt keine Updates per eMail! Alle Microsoft Updates laufen über die Betriebssystemfunktion “Automatische Updates”.