Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ News _ Spam: Link auf wmf exploit

Geschrieben von: raman 27.01.2006, 21:16

Die letzen Monate gab es in regelmaessigen Abstand Spammails mit einem Exeanhang (rechnung.pdf.exe und aehnliche Namen), heute landete eine etwas andere Mail in unserem Postfach. Die Subjekt Zeile war "Standard":

"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen."

Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert.
Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert.

Hier ein Auszug aus der Mail:

From - Fri Jan 27 18:40:09 2006
X-Account-Key: account6
X-UIDL: W\4"!iNT!!pd8"!6=G"!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <mortar@linuxmail.org>
X-Original-To: virus@rokop-security.de
Delivered-To: v15202916@dd12402.kasserver.com
Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17])
by dd12402.kasserver.com (Postfix) with SMTP id 2585728849
for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET)
Date: Fri, 27 Jan 2006 18:34:33 +0100
Message-Id: <CFE6.9B1.order_41526@dell.de>
From: "Dell Online Store" <order_41526@dell.de>
To: virus@rokop-security.de
Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen.
X-Sequence: 566
Precedence: list
Mime-Version: 1.0
Content-Type: text/html; charset=iso-8859-2
Content-Transfer-Encoding: 7bit
X-UIDL: W\4"!iNT!!pd8"!6=G"!

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
</head>

<body bgcolor="#FFFFFF" text="#000000">
++++++++++++++++++++++<br>
Vielen Dank fur das Einkaufen bei uns.
<p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$
ist angenommen.</p>
<p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p>
<p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p>

<p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p>
<p>Vielen Dank<br>
Dell Online Store.<br>
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++</p>

</body>
</html>

Geschrieben von: bond7 27.01.2006, 21:57

das entspricht dieser Heise-News

Gefälschte Dell-Rechnungsmails locken auf Webseiten mit WMF-Exploits
http://www.heise.de/newsticker/meldung/68950

Geschrieben von: Julian 27.01.2006, 22:04

würd mich doch mal interessieren, ob der proaktive schutz von kis 2006 beta den erkennt wink.gif
naja, notfalls eben mit antihacker den zugriff blockieren.

Geschrieben von: raman 27.01.2006, 22:06

Stimmt, das passt.

BTW: Die DLL wird nun von KAV als Trojan-PSW.Win32.Agent.eo identifiziert.

Geschrieben von: Julian 27.01.2006, 22:13

hy ralf.
hast du die möglichkeit das mal mit kis 2006 zu testen?
wär nämlich wirklich interessant, wie die sich bei neuer massenmalware schlägt smile.gif

Geschrieben von: raman 27.01.2006, 22:27

Ich komme da leider so schnell nicht zu, da der Testrechner gerade wieder mit Linux laeuft und eine erneute Umstellung dauert leider..... sad.gif

Das Problem waere auch, das KIS ja den Downloader und den Dropper erkennt, also das starten gleich blocken wuerde.

Aber die neue KAV Technik ist nicht schlecht. Ich habe es damit sogar geschaft, eine aktive Look2me Variante killen zu koennen. Das hat kein anderes AV Programm geschafft!

Naechstes mal denke ich daran. Danke fuer den Tipp!

Geschrieben von: blueX 27.01.2006, 22:34

Bei mir kam heute auch diese Mail rein - ich habe sie erst gar nicht gelesen, da ich öfter Spam bekomme.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)