“Picture Message” von Vodafone: Virus getarnt als MMS

• Empfehlen:
• Tweet

• Empfehlen:
• Tweet

Kriminelle versenden derzeit E-Mails mit Viren, die angeblich von Vodafones MMS-Gateway stammen. In den E-Mails wird behauptet, dass der Empfänger ein Bild per MMS von einem Vodafone-Nutzer erhalten hat. Die Mail mit dem Betreff “You have received a new message” enthält auch eine Rufnummer von der das Bild stammen soll.

In den E-Mails variieren die Handynummern von denen das angebliche MMS-Bild stammen soll – unter anderem kommen die Nummern +491620672279 oder +491622902930 vor. Die E-Mail rührt daher, dass beim Eingang einer MMS viele auch per E-Mail über den Empfang benachrichtigt werden. Einige Smartphones unterstützen MMS nicht mal oder der Dienst ist nicht mal aktiviert.

Wie es in der E-Mail heißt, braucht der Nutzer lediglich den Anhang der Mail zu speichern und zu öffnen. Es handelt sich um eine ZIP-Datei mit dem Namen “Vodafone_MMS.zip”. Im ZIP-Archiv befindet sich der Virus in Form einer EXE-Datei. Konkret hat sie den Dateinamen “Vodafone_MMS.jpg.exe”. Wer Dateinamen-Endungen in Windows nicht aktiviert hat, bekommt lediglich “Vodafone_MMS.jpg” zu sehen und denkt ein JPG-Foto zu öffnen. Eine Bestätigung der UAC (User Account Control – Benutzerkontensteuerung seit Windows Vista) muss allerdings ebenfalls gemacht werden. Den Virus erkennt das Programm AVIRA bereits als “HIDDENTEXT/Worm.Gen”. Die komplette Nachricht in englisch haben wir hier für euch:

You have received a new message

You have received a picture message from mobile number +491620672279
To save this picture, please save attached file.

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video, click here to visit our on-line composer. Alternatively, you can send a text-only reply (limited to 500 characters), simply by clicking your usual reply button. By replying to this message you agree to our terms and conditions. Please see our Website Terms and Conditions at http://www.vodafone.de/termsandconditions for full details.
Only one reply is possible until 11/11/2011.

Was in der E-Mail jedem aufmerksamen Leser auffällt ist das Datum (2011). Es hätte 2012 heißen sollen. Heise hat die Exe-Datei in der Sandbox geöffnet und dabei festgestellt, dass die Datei sich selbst nach “C:\Documents and Settings\All Users\svchost.exe” kopiert und sich als SunJavaUpdateSched im Windows-Systemstart breit macht.

Bisher erkennt nicht jedes Antivirenprogramm den Schadcode. Lediglich 6 AV-Engines erkennen ihn scheinbar. Daher ist Vorsicht geboten. Generell raten wir Dateianhänge in E-Mails mit den Endungen .zip oder sogar .exe nicht zu öffnen, wenn diese unaufgefordert zugesandt werden.