Die letzen Monate gab es in regelmaessigen Abstand Spammails mit einem Exeanhang (rechnung.pdf.exe und aehnliche Namen), heute landete eine etwas andere Mail in unserem Postfach. Die Subjekt Zeile war "Standard":
"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen."
Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert.
Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert.
Hier ein Auszug aus der Mail:
From - Fri Jan 27 18:40:09 2006
X-Account-Key: account6
X-UIDL: W\4"!iNT!!pd8"!6=G"!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <mortar@linuxmail.org>
X-Original-To: virus@rokop-security.de
Delivered-To: v15202916@dd12402.kasserver.com
Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17])
by dd12402.kasserver.com (Postfix) with SMTP id 2585728849
for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET)
Date: Fri, 27 Jan 2006 18:34:33 +0100
Message-Id: <CFE6.9B1.order_41526@dell.de>
From: "Dell Online Store" <order_41526@dell.de>
To: virus@rokop-security.de
Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen.
X-Sequence: 566
Precedence: list
Mime-Version: 1.0
Content-Type: text/html; charset=iso-8859-2
Content-Transfer-Encoding: 7bit
X-UIDL: W\4"!iNT!!pd8"!6=G"!
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
</head>
<body bgcolor="#FFFFFF" text="#000000">
++++++++++++++++++++++<br>
Vielen Dank fur das Einkaufen bei uns.
<p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$
ist angenommen.</p>
<p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p>
<p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p>
<p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p>
<p>Vielen Dank<br>
Dell Online Store.<br>
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++</p>
</body>
</html>
das entspricht dieser Heise-News
Gefälschte Dell-Rechnungsmails locken auf Webseiten mit WMF-Exploits
http://www.heise.de/newsticker/meldung/68950
würd mich doch mal interessieren, ob der proaktive schutz von kis 2006 beta den erkennt
naja, notfalls eben mit antihacker den zugriff blockieren.
Stimmt, das passt.
BTW: Die DLL wird nun von KAV als Trojan-PSW.Win32.Agent.eo identifiziert.
hy ralf.
hast du die möglichkeit das mal mit kis 2006 zu testen?
wär nämlich wirklich interessant, wie die sich bei neuer massenmalware schlägt
Ich komme da leider so schnell nicht zu, da der Testrechner gerade wieder mit Linux laeuft und eine erneute Umstellung dauert leider.....
Das Problem waere auch, das KIS ja den Downloader und den Dropper erkennt, also das starten gleich blocken wuerde.
Aber die neue KAV Technik ist nicht schlecht. Ich habe es damit sogar geschaft, eine aktive Look2me Variante killen zu koennen. Das hat kein anderes AV Programm geschafft!
Naechstes mal denke ich daran. Danke fuer den Tipp!
Bei mir kam heute auch diese Mail rein - ich habe sie erst gar nicht gelesen, da ich öfter Spam bekomme.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)