197040

Falsche Mails vom T-Online Shop

08.03.2006 | 15:11 Uhr |

Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen.

Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll.

Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann:

Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im
Wert von Euro 729 ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen

Vielen Dank
T-Online Online Store.

Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll.

Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.

Erkennung durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

-/-

Avast!

-/-

AVG

-/-

BitDefender

-/-

ClamAV

-/-

Command AV

W32/Backdoor.HXN

Dr Web

-/-

eSafe

Trojan/Worm [101]

eTrust-INO

-/-

eTrust-VET

-/-

Ewido

-/-

F-Prot

W32/Backdoor.HXN

F-Secure

Trojan-Spy.Win32.Goldun.hz

Fortinet

suspicious

Ikarus

-/-

Kaspersky

Trojan-Spy.Win32.Goldun.hz

McAfee

Spy-Agent.ak

Nod32

-/-

Norman

-/-

Panda

Suspicious file

Sophos

-/-

Symantec

-/-

Trend Micro

-/-

Quelle: AV-Test , Stand: 08.03.06, 14 Uhr

0 Kommentare zu diesem Artikel
197040