Angebliche Google-Grußkarten mit WMF-Exploit
Heute werden Mail verschickt, die Links auf einen angeblichen Google-Grußkartendienst enthalten.
In den Mailboxen deutscher Internet-Benutzer landen seit heute Morgen Mails mit einer angeblichen "Grusskarte von Claudia" (oder einem anderen Namen). Sie kommen vorgeblich von "Google Services", tatsächlich von einem Server eines Berliner Providers.
Die Links führen über eine Google-Umleitungsseite zu einer Website mit dem Namen "lisalustich". Die aufgerufene Seite lädt in einem IFRAME-Konstrukt eine PHP-Seite von der Website "toolbarbiz.biz". Diese wiederum lädt eine WMF-Datei ("xpladv582.wmf", 16036 Bytes), die eine gestern bekannt gewordene Sicherheitslücke (wir berichteten) in Windows ausnutzen soll. Eine andere Mail-Variante verlinkt eine bereits nicht mehr existierende Website bei Lycos.de.
Ferner gibt es in den Mails noch Links, die angeblich zum Download der Google-Toolbar führen, tatsächlich jedoch eine EXE-Datei herunter laden, die ebenfalls von "toolbarbiz" kommt. Wie andere Varianten dieses Exploits sollen diese Dateien ein ganzes Bündel von Adware und Spyware auf den PC schaufeln.
Erkennung durch Antivirus-Programme:
| Antivirus | xpladv582.wmf | loadadv582.exe |
|---|---|---|
| AntiVir | TR/Dldr.WMF.Agent.D | TR/Dldr.Harn.ax.12.C |
| Avast! | Win32:Exdown [Trj] | Win32:Harnig-J [Trj] |
| AVG | Downloader.Agent.13.AI (Trojan horse) | -/- |
| BitDefender | Exploit.Win32.WMF-PFV.C | BehavesLike:Trojan.Downloader (suspected) |
| ClamAV | Exploit.WMF.A | -/- |
| Command AV | -/- | W32/Downloader.gen |
| Dr Web | Exploit.MS05-053 | Trojan.DownLoader.6084 |
| eSafe | -/- | Trojan/Worm [101] (suspicious) |
| eTrust-INO | -/- | -/- |
| eTrust-VET | Win32/Worfo | -/- |
| Ewido | -/- | Downloader.Small.cdk |
| F-Prot | -/- | W32/Downloader.gen |
| F-Secure | Trojan-Downloader.Win32.Agent.acd | Trojan-Downloader.Win32.Small.cdk |
| Fortinet | W32/WMF-exploit | suspicious |
| Ikarus | -/- | Backdoor.Win32.PcClient.GV |
| Kaspersky | Trojan-Downloader.Win32.Agent.acd | Trojan-Downloader.Win32.Small.cdk |
| McAfee | Exploit-WMF trojan | Generic Downloader.q trojan |
| Nod32 | Win32/TrojanDownloader.Wmfex trojan | Win32/TrojanDownloader.Small.AOD trojan (probably variant) |
| Norman | -/- | W32/Downloader (Sandbox) |
| Sophos | Troj/DownLdr-NO | -/- |
| Symantec | Bloodhound.Exploit.56 | -/- |
| Trend Micro | TROJ_NASCENE.D | -/- |
