48956

Falsche Dell-Rechnung mit WMF-Exploit

30.01.2006 | 09:19 Uhr |

Ein Trojanisches Pferd soll über einen Link in einer Mail eingeschleust werden.

Seit Freitag, 27.01., werden über Botnets Mails verbreitet, die vorgeblich vom Computer-Versandhändler Dell stammen. Darin enthalten ist eine fiktive Auftragsbestätigung sowie ein Link, unter dem sich die Empfänger den angeblichen Auftrag ansehen sollen.

Tatsächlich wird jedoch beim Anklicken des Links eine Web-Seite aufgerufen, die eine präparierte WMF-Datei ("xpf.wmf") in einem Iframe lädt. Diese nutzt die Windows-Sicherheitslücke MS06-001 (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms06-001.mspx) bei der Behandlung von WMF-Dateien, um einen Schädling einzuschleusen.

Dieser Schädling (Dateiname: "file.exe" oder "U.exe") liegt auf derselben Website und ist wiederum nur ein Downloader für ein Installationsprogramm ("installer.exe") des eigentlichen Trojanischen Pferds ("msnscps.dll"). Letzteres ist ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer.

Der Installer manipuliert Sicherheitseinstellungen von Windows, sodass er das BHO registrieren kann. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden.

Mail-Text:

Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" order_16049@dell.de
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.

+++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank
Dell Online Store.
+++++++++++++++++++++


Die Erkennung der WMF-Datei als WMF-Exploit durch Antivirus-Programme war bereits am Freitag gut. Die weiteren herunter geladenen Dateien hingegen werden überwiegend erst mit späteren Updates oder noch gar nicht erkannt. Hier zeigt sich wieder, dass bei einigen Antivirus-Herstellern mittlerweile auch am Wochenende gearbeitet wird.

Dateiname

xpf.wmf

file.exe | U.exe

Dateigröße

16.036 Bytes

5.464 Bytes

AntiVir

EXP/MS06-001.WMF

TR/Dldr.Cashgrabber

Avast!

MS06-001 WMF Exploit

Win32:Small-DI [Trj]

AVG

unknown virus

Downloader.Generic.QOJ

Bitdefender

Exploit.Win32.WMF-PFV

Trojan.Downloader.DI

ClamAV

Exploit.WMF.A

-/-

Command AV

-/-

W32/Sede.A

Dr Web

Exploit.MS05-053

Trojan.DownLoader.6553

eSafe

-/-

Trojan/Worm [100]

eTrust-INO

Win32/Worfo.Variant!Trojan

Win32/Clagger.5944!Trojan

eTrust-VET

Win32/Worfo

Win32/Clagger!generic

Ewido

Exploit.MS05-053-WMF

Downloader.Small.cfg

F-Prot

-/-

W32/Sede.A

F-Secure

Exploit.Win32.IMG-WMF

Trojan-Downloader.Win32.Small.chd

Fortinet

W32/WMF!exploit

W32/Clagger.E!tr

Ikarus

Exploit.IMG-WMF

Trojan-Downloader.Win32.Small.CFG

Kaspersky

Exploit.Win32.IMG-WMF

Trojan-Downloader.Win32.Small.chd

McAfee

Exploit-WMF trojan

Generic Downloader.u trojan

Nod32

Win32/Exploit.WMF trojan

Win32/TrojanClicker.Small.GP

Norman

W32/Exploit.Gen

W32/DLoader.RCO

Panda

Exploit/Metafile

Trj/Downloader.HKA

Sophos

Exp/WMF-A

Troj/Dloadr-HR

Symantec

Download.Trojan

Download.Trojan

Trend Micro

TROJ_NASCENE.Y

TROJ_SMALL.AZY

Dateiname

installer.exe

msnscps.dll

Dateigröße

43.736 Bytes

33.496 Bytes

AntiVir

TR/Drop.Agent.agn.2

TR/PSW.Agent.EO.8

Avast!

-/-

-/-

AVG

Dropper.Agent.AKH

-/-

Bitdefender

Trojan.Dropper.Agent.AGN

Trojan.PWS.Agent.EO

ClamAV

-/-

-/-

Command AV

-/-

-/-

Dr Web

-/-

-/-

eSafe

-/-

Trojan/Worm [101]

eTrust-INO

-/-

-/-

eTrust-VET

-/-

-/-

Ewido

Dropper.Agent.agn

Trojan.Agent.eo

F-Prot

-/-

-/-

F-Secure

Trojan-Dropper.Win32.Agent.agn

Trojan-PSW.Win32.Agent.eo

Fortinet

W32/Agent.AGN!dr

suspicious

Ikarus

-/-

-/-

Kaspersky

Trojan-Dropper.Win32.Agent.agn

Trojan-PSW.Win32.Agent.eo

McAfee

-/-

-/-

Nod32

Win32/TrojanDropper.Agent.AGN

Win32/PSW.Agent.NAI

Norman

-/-

-/-

Panda

-/-

Suspicious file

Sophos

Troj/PWS-EC

Troj/PWS-EC

Symantec

-/-

-/-

Trend Micro

TSPY_AGENT.AMG

-/-


Quelle: AV-Test , Stand: 30.01.06, 14:00 Uhr

0 Kommentare zu diesem Artikel
48956