117440

Angebliche Google-Grußkarten mit WMF-Exploit

29.12.2005 | 14:13 Uhr |

Heute werden Mail verschickt, die Links auf einen angeblichen Google-Grußkartendienst enthalten.

In den Mailboxen deutscher Internet-Benutzer landen seit heute Morgen Mails mit einer angeblichen "Grusskarte von Claudia" (oder einem anderen Namen). Sie kommen vorgeblich von "Google Services", tatsächlich von einem Server eines Berliner Providers.

Die Links führen über eine Google-Umleitungsseite zu einer Website mit dem Namen "lisalustich". Die aufgerufene Seite lädt in einem IFRAME-Konstrukt eine PHP-Seite von der Website "toolbarbiz.biz". Diese wiederum lädt eine WMF-Datei ("xpladv582.wmf", 16036 Bytes), die eine gestern bekannt gewordene Sicherheitslücke ( wir berichteten ) in Windows ausnutzen soll. Eine andere Mail-Variante verlinkt eine bereits nicht mehr existierende Website bei Lycos.de.

Ferner gibt es in den Mails noch Links, die angeblich zum Download der Google-Toolbar führen, tatsächlich jedoch eine EXE-Datei herunter laden, die ebenfalls von "toolbarbiz" kommt. Wie andere Varianten dieses Exploits sollen diese Dateien ein ganzes Bündel von Adware und Spyware auf den PC schaufeln.

Erkennung durch Antivirus-Programme:

Antivirus

xpladv582.wmf

loadadv582.exe

AntiVir

TR/Dldr.WMF.Agent.D

TR/Dldr.Harn.ax.12.C

Avast!

Win32:Exdown [Trj]

Win32:Harnig-J [Trj]

AVG

Downloader.Agent.13.AI (Trojan horse)

-/-

BitDefender

Exploit.Win32.WMF-PFV.C

BehavesLike:Trojan.Downloader (suspected)

ClamAV

Exploit.WMF.A

-/-

Command AV

-/-

W32/Downloader.gen

Dr Web

Exploit.MS05-053

Trojan.DownLoader.6084

eSafe

-/-

Trojan/Worm [101] (suspicious)

eTrust-INO

-/-

-/-

eTrust-VET

Win32/Worfo

-/-

Ewido

-/-

Downloader.Small.cdk

F-Prot

-/-

W32/Downloader.gen

F-Secure

Trojan-Downloader.Win32.Agent.acd

Trojan-Downloader.Win32.Small.cdk

Fortinet

W32/WMF-exploit

suspicious

Ikarus

-/-

Backdoor.Win32.PcClient.GV

Kaspersky

Trojan-Downloader.Win32.Agent.acd

Trojan-Downloader.Win32.Small.cdk

McAfee

Exploit-WMF trojan

Generic Downloader.q trojan

Nod32

Win32/TrojanDownloader.Wmfex trojan

Win32/TrojanDownloader.Small.AOD trojan (probably variant)

Norman

-/-

W32/Downloader (Sandbox)

Sophos

Troj/DownLdr-NO

-/-

Symantec

Bloodhound.Exploit.56

-/-

Trend Micro

TROJ_NASCENE.D

-/-

Achtung: Neue gefährliche Sicherheitslücke in Windows - Exploit im Umlauf

0 Kommentare zu diesem Artikel
117440