Trojaner im gefälschten Office 2010-Patch
Auf der Internetseite von viren-ticker.de habe ich heute eine Warnung für Nutzer von Microsoft Office gefunden.
Die Warnung ist zwar vom 26.10.2010, der Trojaner soll aber wohl wieder im Umlauf sein.
Per eMail und angeblich vom Microsoft, soll zur Zeit ein gefälschter Office2010-Patch mit dem Trojaner Badware12 im Anhang unterwegs sein. Versprochen wird ein kritisches Update, beim starten der Datei aus dem Anhang wird dem Anwender aber ein Trojaner untergeschoben.
Laut viren-ticker.de hat die E-Mail folgendes Aussehen
Betreff: „Critical Microsoft Update“.
E-Mail-Text: „You are receiving a critical update from Microsoft…”
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Es werden folgende Dateien erstellt:
• %SYSDIR%\recovery.exe
• %SYSDIR%\kkk.exe – %SYSDIR%\RansomWar.txt
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
• run = %SYSDIR%\recovery.exe
An dieser Stelle noch einmal der Hinweis: