Det er Kruse Security som advarer mot den falske Windows-oppdareringen som nå sirkuleres. Det er egentlig snakk om en Internett-orm som sender ut e-post til ulike mottakere. Meldingen inneholder den følgende teksten:
"Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been released.
Due to security problems, your system needs to be updated as earlier as possible.
You can download an update patch on Windows Update site:
http://www.windows-update.com
Best regards, Windows Update Group"
Nettstedet det er snakk om, som ikke er det samme som Microsofts oppdateringsnettsted med URL-en http://windowsupdate.microsoft.com, utnytter et sikkerhethull i Internet Explorer som ble offentliggjort i begynnelsen av juni i år.
Når en går inn på nettstedet, åpnes en liten HTML-fil som blant annet inneholder en IFRAME-tagg.
Iframe'en blir forsøkt åpnet hele 3355 ganger i nettleseren, samtidig som filen update0932.exe eksekveres. Filen er pakket med UPX (Ultimate Packer
for eXecutables) og inneholder en trojansk hest som laster ned filen svsghost.exe fra en maskin med IP-adressen 38.115.134.3.
Denne filen skal ifølge Kruse Se inneholdeen IRC-bakdør av typen Sdbot. Ingen av filene skal foreløpig kunne detekteres med antivirusverktøy.
For å unngå å bli smittet, bør du først og fremst la være å klikke på lenken i e-posten. Dernest bør du installere alle oppdateringer til Internet Explorer og Windows. I tillegg, hvis du har tilgang på en brannmur, kan du sperre all tilgang til den nevnte IP-adressen.
Analysen av koden er ikke fullført. Oppdatert informasjon skal bli lagt på denne siden.
