Ein Trojanisches Pferd soll über einen Link in einer Mail eingeschleust werden.

Seit Freitag, 27.01., werden über Botnets Mails verbreitet, die vorgeblich vom Computer-Versandhändler Dell stammen. Darin enthalten ist eine fiktive Auftragsbestätigung sowie ein Link, unter dem sich die Empfänger den angeblichen Auftrag ansehen sollen.
Tatsächlich wird jedoch beim Anklicken des Links eine Web-Seite aufgerufen, die eine präparierte WMF-Datei ("xpf.wmf") in einem Iframe lädt. Diese nutzt die Windows-Sicherheitslücke MS06-001 (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-001.mspx) bei der Behandlung von WMF-Dateien, um einen Schädling einzuschleusen.
Dieser Schädling (Dateiname: "file.exe" oder "U.exe") liegt auf derselben Website und ist wiederum nur ein Downloader für ein Installationsprogramm ("installer.exe") des eigentlichen Trojanischen Pferds ("msnscps.dll"). Letzteres ist ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer.
Der Installer manipuliert Sicherheitseinstellungen von Windows, sodass er das BHO registrieren kann. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden.
Mail-Text:
Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" <order_16049@dell.de>
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.
++++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
<SPAN STYLE="color:blue" TITLE="Link in der Mail führt direkt auf WMF-Exploit">Klick mal rein um den Auftrag zu sehen</SPAN>
Vielen Dank
Dell Online Store.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Die Erkennung der WMF-Datei als WMF-Exploit durch Antivirus-Programme war bereits am Freitag gut. Die weiteren herunter geladenen Dateien hingegen werden überwiegend erst mit späteren Updates oder noch gar nicht erkannt. Hier zeigt sich wieder, dass bei einigen Antivirus-Herstellern mittlerweile auch am Wochenende gearbeitet wird.
Dateiname |
xpf.wmf |
file.exe | U.exe |
installer.exe |
msnscps.dll |
---|---|---|---|---|
Dateigröße |
16.036 Bytes |
5.464 Bytes |
43.736 Bytes |
33.496 Bytes |
AntiVir |
EXP/MS06-001.WMF |
TR/Dldr.Cashgrabber |
-/- |
-/- |
Avast! |
MS06-001 WMF Exploit |
Win32:Small-DI [Trj] |
-/- |
-/- |
unknown virus |
Downloader.Generic.QOJ |
Dropper.Agent.AKH |
-/- |
|
Exploit.Win32.WMF-PFV |
Trojan.Downloader.DI |
Trojan.Dropper.Agent.AGN |
Trojan.PWS.Agent.EO |
|
ClamAV |
Exploit.WMF.A |
-/- |
-/- |
-/- |
Command AV |
-/- |
W32/Sede.A |
-/- |
-/- |
Dr Web |
Exploit.MS05-053 |
Trojan.DownLoader.6553 |
-/- |
-/- |
eSafe |
-/- |
Trojan/Worm |
-/- |
Trojan/Worm |
eTrust-INO |
Win32/Worfo.Variant!Trojan |
Win32/Clagger.5944!Trojan |
-/- |
-/- |
eTrust-VET |
Win32/Worfo |
Win32/Clagger!generic |
-/- |
-/- |
Ewido |
Exploit.MS05-053-WMF |
Downloader.Small.cfg |
Dropper.Agent.agn |
Trojan.Agent.eo |
F-Prot |
-/- |
W32/Sede.A |
-/- |
-/- |
Exploit.Win32.IMG-WMF |
Trojan-Downloader.Win32.Small.chd |
Trojan-Dropper.Win32.Agent.agn |
-/- |
|
Fortinet |
W32/WMF!exploit |
W32/Clagger.E!tr |
W32/Agent.AGN!dr |
suspicious |
Ikarus |
Exploit.IMG-WMF |
Trojan-Downloader.Win32.Small.CFG |
-/- |
-/- |
Kaspersky |
Exploit.Win32.IMG-WMF |
Trojan-Downloader.Win32.Small.chd |
Trojan-Dropper.Win32.Agent.agn |
Trojan-PSW.Win32.Agent.eo |
Exploit-WMF trojan |
Generic Downloader.u trojan |
-/- |
-/- |
|
Nod32 |
Win32/Exploit.WMF trojan |
Win32/TrojanClicker.Small.GP |
Win32/TrojanDropper.Agent.AGN |
Win32/PSW.Agent.NAI |
Norman |
W32/Exploit.Gen |
W32/DLoader.RCO |
-/- |
-/- |
Panda |
Exploit/Metafile |
Trj/Downloader.HKA |
-/- |
Suspicious file |
Sophos |
Exp/WMF-A |
Troj/Dloadr-HR |
Troj/PWS-EC |
Troj/PWS-EC |
Download.Trojan |
Download.Trojan |
-/- |
-/- |
|
Trend Micro |
TROJ_NASCENE.Y |
TROJ_SMALL.AZY |
TSPY_AGENT.AMG |
-/- |
Quelle: AV-Test (http://www.av-test.de), Stand: 30.01.06, 3:00 Uhr