Doppelschlag
Falsches Microsoft-Update mit PDF-Exploit
Massenhaft verbreitete Mails, die nur scheinbar von Microsoft stammen, sollen ein vorgebliches Sicherheits-Update für Outlook propagieren. Die Download-Seiten sind mit einem PDF-Exploit präpariert.
Die Masche mit dem vorgeblichen Update für Outlook läuft bereits seit ein paar Tagen. Inzwischen haben die Malware-Spammer mehrfach die EXE-Datei ausgetauscht, die auf den nachgeahmten Microsoft-Seiten zum Download angeboten wird. Sie haben diese Seiten außerdem mit Exploit-Code präpariert, der eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader ausnutzen soll.
Alex Eckelberry, Geschäftsführer von Sunbelt Software, berichtet im Blog des Sicherheitsunternehmens, die Honeypots (hier: Spam-Fallen) seiner Firma hätten eine große Zahl gefälschter Microsoft-Mails abgefangen. Diese sollen potenzielle Opfer mit der Aussicht auf ein wichtiges Update für Outlook und Outlook Express auf vorbereitete Web-Seiten locken.
Dort erwartet sie eine recht überzeugende Imitation einer Microsoft-Seite, die den Download einer Datei namens "officexp-KB910721-FullFile-ENU.exe" anbietet. Dabei handelt es sich jedoch um Malware aus der Zbot-Familie. Der Schädling wird inzwischen von vielen Antivirusprogrammen erkannt, es gibt jedoch noch Lücken.
Die Seiten enthalten aber auch noch einen Iframe, der von einem Server in der Türkei geladen wird. Darin steckt verschleierter Script-Code, der die installierte Version des Adobe Reader bestimmt und den passenden Exploit-Code lädt. Damit wird ebenfalls ein Schädling aus der Zbot-Familie eingeschleust, der jedoch bislang kaum erkannt wird. Die aktuellen Versionen von Adobe Reader (9.1.2 und 8.1.6) sind nicht anfällig.
| Antivirus | Malware-Name (EXE-Datei) | Malware-Name (PDF-Datei) |
|---|---|---|
| AntiVir | TR/Crypt.XPACK.Gen | HTML/Malicious.PDF.Gen |
| Authentium | W32/Heuristic-CO3!Eldorado | --- |
| Avast | --- | JS:Pdfka-JS [Expl] |
| AVG | Generic13.BQHH (Trojan horse) | --- |
| Bitdefender | Trojan.Spy.ZBot.VF | --- |
| CA-AV | Win32/Kollah.ANB | --- |
| ClamAV | --- | --- |
| Dr Web | Trojan.PWS.Panda.122 | --- |
| Eset Nod32 | Win32/Kryptik.VR trojan (variant) | PDF/Exploit.Gen trojan |
| Fortinet | W32/Zbot.VR!tr.spy | --- |
| F-Prot | --- | --- |
| F-Secure 2009 | Trojan-Spy.Win32.Zbot.xrt | --- |
| F-Secure 2010 | --- | --- |
| G-Data AVK 2008 | Trojan-Spy.Win32.Zbot.xrt | JS:Pdfka-JS [Expl] |
| G-Data AVK 2009 | Trojan.Spy.ZBot.VF | JS:Pdfka-JS [Expl] |
| Ikarus | Trojan-Spy.Zbot | --- |
| ISS VPS | --- | --- |
| K7 Computing | --- | --- |
| Kaspersky | Trojan-Spy.Win32.Zbot.xrt | --- |
| McAfee | --- (Generic PWS.y!dk)* | --- |
| McAfee Artemis | Artemis!7D09214052F0 (trojan) | --- |
| McAfee GW Edition | Trojan.Crypt.XPACK.Gen | Script.Malicious.PDF.Gen |
| Microsoft | --- | Exploit:Win32/Pidief.K |
| Norman | --- | --- |
| Panda | --- | --- |
| Panda (Online) | --- | --- |
| QuickHeal | --- | --- |
| Rising AV | Backdoor.Win32.Ntos.eg | --- |
| Sophos | Mal/Zbot-P | Troj/PDFEx-BG |
| Spybot S&D | --- | --- |
| Sunbelt | VIPRE.Suspicious | Exploit.PDF-JS.Gen (v) |
| Symantec | --- | --- |
| Trend Micro | TROJ_ZBOT.AYG | --- |
| VBA32 | --- | --- |
| VirusBuster | --- | --- |
