Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-421

[MS/Generic] Wiederholt gefälschte Microsoft Security Bulletins im Umlauf
(2001-07-17 12:18:06+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/07/msg00286.html

In jüngster Zeit tauchen vermehrt gefälschte Microsoft Security Bulletins auf, in denen vor Bedrohungen gewarnt wird, die nicht existieren oder vor denen bereits in anderen Bulletins gewarnt wurde. Meist wird in diesen Meldungen empfohlen, einen Patch über einen dubiosen URL herunterzuladen, der sich nach erfolgreicher Installation als Wurm oder Virus entpuppt und das System kompromittiert. Nach einem falschen Bulletin mit der Bezeichnung "MS01-037" ist nun ein weiteres mit der Bezeichnung "MS01-039" in Umlauf.

Betroffene Systeme

Einfallstor
Per E-Mail versandte, gefälschte Microsoft Security Bulletins

Auswirkung
Verschieden je nach Art des Wurms/Virus. Allgemein kann davon ausgegangen werden, daß befallene Systeme kompromittiert sind.

Typ der Verwundbarkeit
Wurm/Virus

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Schon in KW28 wurde unter anderem vom DFN-CERT vor einem falschen Microsoft Security Bulletin MS01-037 gewarnt in dem ein URL enthalten ist, der auf einen vermeintlichen Patch zur Behebung des in diesem Advisory beschriebenen Problems einer "Vulnerability in Windows systems allowing an upload of a serious virus" dienen soll. Stattdessen enthält diese Datei den Wurm W32/Leave.B, der das "gepachte" System infiziert und damit kompromittiert.

Nun ist ein weiteres gefälschtes Microsoft Security Bulletin MS01-039 aufgetaucht, das ähnliche Warnungen enthält, aber einen anderen URL, der auf eine Datei als vermeintlichen Patch zeigt. Offenbar wird ein in dieser Datei enthaltener Wurm/Virus noch von keinem aktuellen Virenscanner entdeckt - eine Nachprüfung durch das RUS-CERT konnte nicht erfolgen, da der URL mittlerweile nicht mehr erreichbar ist.

Charakteristik der Falschmeldungen
Folgende Merkmale deuten auf eines der beschriebenen oder ein möglicherweise noch unbekanntes gefälschte Microsoft Security Bulletin hin:

Gegenmaßnahmen

Generelle Empfehlung (Wh)

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=421