Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Spam: Link auf wmf exploit, Ihr Auftrag # 41526 im Wert von 697.00
raman
Beitrag 27.01.2006, 21:16
Beitrag #1



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Die letzen Monate gab es in regelmaessigen Abstand Spammails mit einem Exeanhang (rechnung.pdf.exe und aehnliche Namen), heute landete eine etwas andere Mail in unserem Postfach. Die Subjekt Zeile war "Standard":

"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen."

Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert.
Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert.

Hier ein Auszug aus der Mail:

From - Fri Jan 27 18:40:09 2006
X-Account-Key: account6
X-UIDL: W\4"!iNT!!pd8"!6=G"!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <mortar@linuxmail.org>
X-Original-To: virus@rokop-security.de
Delivered-To: v15202916@dd12402.kasserver.com
Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17])
by dd12402.kasserver.com (Postfix) with SMTP id 2585728849
for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET)
Date: Fri, 27 Jan 2006 18:34:33 +0100
Message-Id: <CFE6.9B1.order_41526@dell.de>
From: "Dell Online Store" <order_41526@dell.de>
To: virus@rokop-security.de
Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen.
X-Sequence: 566
Precedence: list
Mime-Version: 1.0
Content-Type: text/html; charset=iso-8859-2
Content-Transfer-Encoding: 7bit
X-UIDL: W\4"!iNT!!pd8"!6=G"!

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
</head>

<body bgcolor="#FFFFFF" text="#000000">
++++++++++++++++++++++<br>
Vielen Dank fur das Einkaufen bei uns.
<p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$
ist angenommen.</p>
<p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p>
<p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p>

<p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p>
<p>Vielen Dank<br>
Dell Online Store.<br>
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++</p>

</body>
</html>


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 27.01.2006, 21:57
Beitrag #2



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



das entspricht dieser Heise-News

Gefälschte Dell-Rechnungsmails locken auf Webseiten mit WMF-Exploits
http://www.heise.de/newsticker/meldung/68950


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Gast_Julian_*
Beitrag 27.01.2006, 22:04
Beitrag #3






Gäste






würd mich doch mal interessieren, ob der proaktive schutz von kis 2006 beta den erkennt wink.gif
naja, notfalls eben mit antihacker den zugriff blockieren.
Go to the top of the page
 
+Quote Post
raman
Beitrag 27.01.2006, 22:06
Beitrag #4


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Stimmt, das passt.

BTW: Die DLL wird nun von KAV als Trojan-PSW.Win32.Agent.eo identifiziert.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Julian_*
Beitrag 27.01.2006, 22:13
Beitrag #5






Gäste






hy ralf.
hast du die möglichkeit das mal mit kis 2006 zu testen?
wär nämlich wirklich interessant, wie die sich bei neuer massenmalware schlägt smile.gif
Go to the top of the page
 
+Quote Post
raman
Beitrag 27.01.2006, 22:27
Beitrag #6


Threadersteller

AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich komme da leider so schnell nicht zu, da der Testrechner gerade wieder mit Linux laeuft und eine erneute Umstellung dauert leider..... sad.gif

Das Problem waere auch, das KIS ja den Downloader und den Dropper erkennt, also das starten gleich blocken wuerde.

Aber die neue KAV Technik ist nicht schlecht. Ich habe es damit sogar geschaft, eine aktive Look2me Variante killen zu koennen. Das hat kein anderes AV Programm geschafft!

Naechstes mal denke ich daran. Danke fuer den Tipp!


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 27.01.2006, 22:34
Beitrag #7






Gäste






Bei mir kam heute auch diese Mail rein - ich habe sie erst gar nicht gelesen, da ich öfter Spam bekomme.
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 19.03.2024, 05:17
Impressum