947438

Falsche Dell-Rechnung mit WMF-Exploit

30.01.2006 | 11:22 Uhr

Ein Trojanisches Pferd soll über einen Link in einer Mail eingeschleust werden.

Seit Freitag, 27.01., werden über Botnets Mails verbreitet, die vorgeblich vom Computer-Versandhändler Dell stammen. Darin enthalten ist eine fiktive Auftragsbestätigung sowie ein Link, unter dem sich die Empfänger den angeblichen Auftrag ansehen sollen.

Tatsächlich wird jedoch beim Anklicken des Links eine Web-Seite aufgerufen, die eine präparierte WMF-Datei ("xpf.wmf") in einem Iframe lädt. Diese nutzt die Windows-Sicherheitslücke MS06-001 (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-001.mspx) bei der Behandlung von WMF-Dateien, um einen Schädling einzuschleusen.

Dieser Schädling (Dateiname: "file.exe" oder "U.exe") liegt auf derselben Website und ist wiederum nur ein Downloader für ein Installationsprogramm ("installer.exe") des eigentlichen Trojanischen Pferds ("msnscps.dll"). Letzteres ist ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer.

Der Installer manipuliert Sicherheitseinstellungen von Windows, sodass er das BHO registrieren kann. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden.

Mail-Text:

Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" <order_16049@dell.de>
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.

++++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
<SPAN STYLE="color:blue" TITLE="Link in der Mail führt direkt auf WMF-Exploit">Klick mal rein um den Auftrag zu sehen</SPAN>
Vielen Dank
Dell Online Store.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


Die Erkennung der WMF-Datei als WMF-Exploit durch Antivirus-Programme war bereits am Freitag gut. Die weiteren herunter geladenen Dateien hingegen werden überwiegend erst mit späteren Updates oder noch gar nicht erkannt. Hier zeigt sich wieder, dass bei einigen Antivirus-Herstellern mittlerweile auch am Wochenende gearbeitet wird.

Dateiname

xpf.wmf

file.exe | U.exe

installer.exe

msnscps.dll

Dateigröße

16.036 Bytes

5.464 Bytes

43.736 Bytes

33.496 Bytes

AntiVir

EXP/MS06-001.WMF

TR/Dldr.Cashgrabber

-/-

-/-

Avast!

MS06-001 WMF Exploit

Win32:Small-DI [Trj]

-/-

-/-

AVG

unknown virus

Downloader.Generic.QOJ

Dropper.Agent.AKH

-/-

Bitdefender

Exploit.Win32.WMF-PFV

Trojan.Downloader.DI

Trojan.Dropper.Agent.AGN

Trojan.PWS.Agent.EO

ClamAV

Exploit.WMF.A

-/-

-/-

-/-

Command AV

-/-

W32/Sede.A

-/-

-/-

Dr Web

Exploit.MS05-053

Trojan.DownLoader.6553

-/-

-/-

eSafe

-/-

Trojan/Worm

-/-

Trojan/Worm

eTrust-INO

Win32/Worfo.Variant!Trojan

Win32/Clagger.5944!Trojan

-/-

-/-

eTrust-VET

Win32/Worfo

Win32/Clagger!generic

-/-

-/-

Ewido

Exploit.MS05-053-WMF

Downloader.Small.cfg

Dropper.Agent.agn

Trojan.Agent.eo

F-Prot

-/-

W32/Sede.A

-/-

-/-

F-Secure

Exploit.Win32.IMG-WMF

Trojan-Downloader.Win32.Small.chd

Trojan-Dropper.Win32.Agent.agn

-/-

Fortinet

W32/WMF!exploit

W32/Clagger.E!tr

W32/Agent.AGN!dr

suspicious

Ikarus

Exploit.IMG-WMF

Trojan-Downloader.Win32.Small.CFG

-/-

-/-

Kaspersky

Exploit.Win32.IMG-WMF

Trojan-Downloader.Win32.Small.chd

Trojan-Dropper.Win32.Agent.agn

Trojan-PSW.Win32.Agent.eo

McAfee

Exploit-WMF trojan

Generic Downloader.u trojan

-/-

-/-

Nod32

Win32/Exploit.WMF trojan

Win32/TrojanClicker.Small.GP

Win32/TrojanDropper.Agent.AGN

Win32/PSW.Agent.NAI

Norman

W32/Exploit.Gen

W32/DLoader.RCO

-/-

-/-

Panda

Exploit/Metafile

Trj/Downloader.HKA

-/-

Suspicious file

Sophos

Exp/WMF-A

Troj/Dloadr-HR

Troj/PWS-EC

Troj/PWS-EC

Symantec

Download.Trojan

Download.Trojan

-/-

-/-

Trend Micro

TROJ_NASCENE.Y

TROJ_SMALL.AZY

TSPY_AGENT.AMG

-/-


Quelle: AV-Test (http://www.av-test.de), Stand: 30.01.06, 3:00 Uhr

0 Kommentare zu diesem Artikel
947438