Spam: Link auf wmf exploit, Ihr Auftrag # 41526 im Wert von 697.00 |
Willkommen, Gast ( Anmelden | Registrierung )
Spam: Link auf wmf exploit, Ihr Auftrag # 41526 im Wert von 697.00 |
27.01.2006, 21:16
Beitrag
#1
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.932 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Die letzen Monate gab es in regelmaessigen Abstand Spammails mit einem Exeanhang (rechnung.pdf.exe und aehnliche Namen), heute landete eine etwas andere Mail in unserem Postfach. Die Subjekt Zeile war "Standard":
"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen." Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert. Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert. Hier ein Auszug aus der Mail: From - Fri Jan 27 18:40:09 2006 X-Account-Key: account6 X-UIDL: W\4"!iNT!!pd8"!6=G"! X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Return-Path: <mortar@linuxmail.org> X-Original-To: virus@rokop-security.de Delivered-To: v15202916@dd12402.kasserver.com Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17]) by dd12402.kasserver.com (Postfix) with SMTP id 2585728849 for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET) Date: Fri, 27 Jan 2006 18:34:33 +0100 Message-Id: <CFE6.9B1.order_41526@dell.de> From: "Dell Online Store" <order_41526@dell.de> To: virus@rokop-security.de Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen. X-Sequence: 566 Precedence: list Mime-Version: 1.0 Content-Type: text/html; charset=iso-8859-2 Content-Transfer-Encoding: 7bit X-UIDL: W\4"!iNT!!pd8"!6=G"! <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"> </head> <body bgcolor="#FFFFFF" text="#000000"> ++++++++++++++++++++++<br> Vielen Dank fur das Einkaufen bei uns. <p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.</p> <p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p> <p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p> <p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p> <p>Vielen Dank<br> Dell Online Store.<br> ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++</p> </body> </html> -------------------- MfG Ralf
|
|
|
27.01.2006, 21:57
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
das entspricht dieser Heise-News
Gefälschte Dell-Rechnungsmails locken auf Webseiten mit WMF-Exploits http://www.heise.de/newsticker/meldung/68950 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Julian_* |
27.01.2006, 22:04
Beitrag
#3
|
Gäste |
würd mich doch mal interessieren, ob der proaktive schutz von kis 2006 beta den erkennt
naja, notfalls eben mit antihacker den zugriff blockieren. |
|
|
27.01.2006, 22:06
Beitrag
#4
|
|
Threadersteller AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.932 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Stimmt, das passt.
BTW: Die DLL wird nun von KAV als Trojan-PSW.Win32.Agent.eo identifiziert. -------------------- MfG Ralf
|
|
|
Gast_Julian_* |
27.01.2006, 22:13
Beitrag
#5
|
Gäste |
hy ralf.
hast du die möglichkeit das mal mit kis 2006 zu testen? wär nämlich wirklich interessant, wie die sich bei neuer massenmalware schlägt |
|
|
27.01.2006, 22:27
Beitrag
#6
|
|
Threadersteller AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.932 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich komme da leider so schnell nicht zu, da der Testrechner gerade wieder mit Linux laeuft und eine erneute Umstellung dauert leider.....
Das Problem waere auch, das KIS ja den Downloader und den Dropper erkennt, also das starten gleich blocken wuerde. Aber die neue KAV Technik ist nicht schlecht. Ich habe es damit sogar geschaft, eine aktive Look2me Variante killen zu koennen. Das hat kein anderes AV Programm geschafft! Naechstes mal denke ich daran. Danke fuer den Tipp! -------------------- MfG Ralf
|
|
|
Gast_blueX_* |
27.01.2006, 22:34
Beitrag
#7
|
Gäste |
Bei mir kam heute auch diese Mail rein - ich habe sie erst gar nicht gelesen, da ich öfter Spam bekomme.
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.03.2024, 05:17 |