Falsche Dell-Rechnung mit WMF-Exploit

Ein Trojanisches Pferd soll über einen Link in einer Mail eingeschleust werden.

Seit Freitag, 27.01., werden über Botnets Mails verbreitet, die vorgeblich vom Computer-Versandhändler Dell stammen. Darin enthalten ist eine fiktive Auftragsbestätigung sowie ein Link, unter dem sich die Empfänger den angeblichen Auftrag ansehen sollen.

Tatsächlich wird jedoch beim Anklicken des Links eine Web-Seite aufgerufen, die eine präparierte WMF-Datei ("xpf.wmf") in einem Iframe lädt. Diese nutzt die Windows-Sicherheitslücke MS06-001 (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-001.mspx) bei der Behandlung von WMF-Dateien, um einen Schädling einzuschleusen.

Dieser Schädling (Dateiname: "file.exe" oder "U.exe") liegt auf derselben Website und ist wiederum nur ein Downloader für ein Installationsprogramm ("installer.exe") des eigentlichen Trojanischen Pferds ("msnscps.dll"). Letzteres ist ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer.

Der Installer manipuliert Sicherheitseinstellungen von Windows, sodass er das BHO registrieren kann. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden.

Mail-Text:

Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" <order_16049@dell.de>
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.

++++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
<SPAN STYLE="color:blue" TITLE="Link in der Mail führt direkt auf WMF-Exploit">Klick mal rein um den Auftrag zu sehen</SPAN>
Vielen Dank
Dell Online Store.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Die Erkennung der WMF-Datei als WMF-Exploit durch Antivirus-Programme war bereits am Freitag gut. Die weiteren herunter geladenen Dateien hingegen werden überwiegend erst mit späteren Updates oder noch gar nicht erkannt. Hier zeigt sich wieder, dass bei einigen Antivirus-Herstellern mittlerweile auch am Wochenende gearbeitet wird.

Dateiname	xpf.wmf	file.exe \| U.exe	installer.exe	msnscps.dll
Dateigröße	16.036 Bytes	5.464 Bytes	43.736 Bytes	33.496 Bytes
AntiVir	EXP/MS06-001.WMF	TR/Dldr.Cashgrabber	-/-	-/-
Avast!	MS06-001 WMF Exploit	Win32:Small-DI [Trj]	-/-	-/-
AVG	unknown virus	Downloader.Generic.QOJ	Dropper.Agent.AKH	-/-
Bitdefender	Exploit.Win32.WMF-PFV	Trojan.Downloader.DI	Trojan.Dropper.Agent.AGN	Trojan.PWS.Agent.EO
ClamAV	Exploit.WMF.A	-/-	-/-	-/-
Command AV	-/-	W32/Sede.A	-/-	-/-
Dr Web	Exploit.MS05-053	Trojan.DownLoader.6553	-/-	-/-
eSafe	-/-	Trojan/Worm	-/-	Trojan/Worm
eTrust-INO	Win32/Worfo.Variant!Trojan	Win32/Clagger.5944!Trojan	-/-	-/-
eTrust-VET	Win32/Worfo	Win32/Clagger!generic	-/-	-/-
Ewido	Exploit.MS05-053-WMF	Downloader.Small.cfg	Dropper.Agent.agn	Trojan.Agent.eo
F-Prot	-/-	W32/Sede.A	-/-	-/-
F-Secure	Exploit.Win32.IMG-WMF	Trojan-Downloader.Win32.Small.chd	Trojan-Dropper.Win32.Agent.agn	-/-
Fortinet	W32/WMF!exploit	W32/Clagger.E!tr	W32/Agent.AGN!dr	suspicious
Ikarus	Exploit.IMG-WMF	Trojan-Downloader.Win32.Small.CFG	-/-	-/-
Kaspersky	Exploit.Win32.IMG-WMF	Trojan-Downloader.Win32.Small.chd	Trojan-Dropper.Win32.Agent.agn	Trojan-PSW.Win32.Agent.eo
McAfee	Exploit-WMF trojan	Generic Downloader.u trojan	-/-	-/-
Nod32	Win32/Exploit.WMF trojan	Win32/TrojanClicker.Small.GP	Win32/TrojanDropper.Agent.AGN	Win32/PSW.Agent.NAI
Norman	W32/Exploit.Gen	W32/DLoader.RCO	-/-	-/-
Panda	Exploit/Metafile	Trj/Downloader.HKA	-/-	Suspicious file
Sophos	Exp/WMF-A	Troj/Dloadr-HR	Troj/PWS-EC	Troj/PWS-EC
Symantec	Download.Trojan	Download.Trojan	-/-	-/-
Trend Micro	TROJ_NASCENE.Y	TROJ_SMALL.AZY	TSPY_AGENT.AMG	-/-