104762

Falsches Microsoft-Update mit PDF-Exploit

01.07.2009 | 15:13 Uhr |

Massenhaft verbreitete Mails, die nur scheinbar von Microsoft stammen, sollen ein vorgebliches Sicherheits-Update für Outlook propagieren. Die Download-Seiten sind mit einem PDF-Exploit präpariert.

Die Masche mit dem vorgeblichen Update für Outlook läuft bereits seit ein paar Tagen . Inzwischen haben die Malware-Spammer mehrfach die EXE-Datei ausgetauscht, die auf den nachgeahmten Microsoft-Seiten zum Download angeboten wird. Sie haben diese Seiten außerdem mit Exploit-Code präpariert, der eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader ausnutzen soll.

Alex Eckelberry, Geschäftsführer von Sunbelt Software, berichtet im Blog des Sicherheitsunternehmens, die Honeypots (hier: Spam-Fallen) seiner Firma hätten eine große Zahl gefälschter Microsoft-Mails abgefangen. Diese sollen potenzielle Opfer mit der Aussicht auf ein wichtiges Update für Outlook und Outlook Express auf vorbereitete Web-Seiten locken.

Dort erwartet sie eine recht überzeugende Imitation einer Microsoft-Seite, die den Download einer Datei namens "officexp-KB910721-FullFile-ENU.exe" anbietet. Dabei handelt es sich jedoch um Malware aus der Zbot-Familie. Der Schädling wird inzwischen von vielen Antivirusprogrammen erkannt, es gibt jedoch noch Lücken.

Die Seiten enthalten aber auch noch einen Iframe, der von einem Server in der Türkei geladen wird. Darin steckt verschleierter Script-Code, der die installierte Version des Adobe Reader bestimmt und den passenden Exploit-Code lädt. Damit wird ebenfalls ein Schädling aus der Zbot-Familie eingeschleust, der jedoch bislang kaum erkannt wird. Die aktuellen Versionen von Adobe Reader (9.1.2 und 8.1.6) sind nicht anfällig.

Antivirus

Malware-Name (EXE-Datei)

Malware-Name (PDF-Datei)

AntiVir

TR/Crypt.XPACK.Gen

HTML/Malicious.PDF.Gen

Authentium

W32/Heuristic-CO3!Eldorado

---

Avast

---

JS:Pdfka-JS [Expl]

AVG

Generic13.BQHH (Trojan horse)

---

Bitdefender

Trojan.Spy.ZBot.VF

---

CA-AV

Win32/Kollah.ANB

---

ClamAV

---

---

Dr Web

Trojan.PWS.Panda.122

---

Eset Nod32

Win32/Kryptik.VR trojan (variant)

PDF/Exploit.Gen trojan

Fortinet

W32/Zbot.VR!tr.spy

---

F-Prot

---

---

F-Secure 2009

Trojan-Spy.Win32.Zbot.xrt

---

F-Secure 2010

---

---

G-Data AVK 2008

Trojan-Spy.Win32.Zbot.xrt

JS:Pdfka-JS [Expl]

G-Data AVK 2009

Trojan.Spy.ZBot.VF

JS:Pdfka-JS [Expl]

Ikarus

Trojan-Spy.Zbot

---

ISS VPS

---

---

K7 Computing

---

---

Kaspersky

Trojan-Spy.Win32.Zbot.xrt

---

McAfee

--- (Generic PWS.y!dk)*

---

McAfee Artemis

Artemis!7D09214052F0 (trojan)

---

McAfee GW Edition

Trojan.Crypt.XPACK.Gen

Script.Malicious.PDF.Gen

Microsoft

---

Exploit:Win32/Pidief.K

Norman

---

---

Panda

---

---

Panda (Online)

---

---

QuickHeal

---

---

Rising AV

Backdoor.Win32.Ntos.eg

---

Sophos

Mal/Zbot-P

Troj/PDFEx-BG

Spybot S&D

---

---

Sunbelt

VIPRE.Suspicious

Exploit.PDF-JS.Gen (v)

Symantec

---

---

Trend Micro

TROJ_ZBOT.AYG

---

VBA32

---

---

VirusBuster

---

---


Quelle: AV-Test , Stand: 01.07.2009, 14:00 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
104762