Vorgeblich von Microsoft kommende Mails verbreiten Download-Links für ein Trojanisches Pferd, das als Sicherheits-Update für eine Schwachstelle im Kodak Image Viewer (MS07-055) ausgegeben wird.
Einen Tag nach dem November Patch Day ist den Versendern einer vorgeblichen Microsoft-Mail offenbar als guter Zeitpunkt erschienen, um ein manipuliertes Sicherheits-Update für eine tatsächlich bereits im Oktober behandelte Sicherheitslücke in Umlauf zu bringen.
Die Mails kommen mit einem Betreff wie "Microsoft Security Bulletin MS07-055 - Critical" oder auch in einer spanischen Version als "Boletín de seguridad de Microsoft MS07-055 – Crítico", von der Panda Security berichtet.
Der HTML-formatierte Inhalt der Mails ist eine Kopie der entsprechenden Microsoft-Meldung zum Security Bulletin MS07-055. Die Download-Links sind jedoch verändert und nutzen einen Web-basierten Proxy-Dienst, um die wirkliche Herkunft der aufgerufenen Seiten zu verbergen.
Diese Seiten sind täuschend echt den Download-Seiten von Microsoft nachempfunden. Die für verschiedene Windows-Versionen angebotenen Dateien sind alle identisch und heißen wie das Original "WindowsXP-KB923810-x86-ENU.exe".
Sie sind etwa 1 MB groß und enthalten neben einem Trojanischen Pferd tatsächlich das echte Sicherheits-Update von Microsoft für die englische Version von Windows XP. Das derart manipulierte Update installiert eine Hintertür (Backdoor), über die Angreifer vom Internet aus Zugriff auf den PC erlangen können.
