56726

Malware: Paris Hilton lädt zum Exploit-Cocktail

23.04.2007 | 09:06 Uhr |

In einer nächtlichen Spam-Aktion ist am vergangenen Freitag eine neue Welle von Mails verbreitet worden, in denen neben einer WMF-Datei mit Exploit-Code ein Link zu einer mit Exploits nur so gespickten Website steckt.

Eine bereits länger laufende Malware-Spam-Kampagne hat in der Nacht die nächste Welle gefährlicher Mails in die Postfächer der Anwender gespült. Die Versender buhlen mit einem freizügigen Foto von Paris Hilton um die Mausklicks der potenziellen Opfer. Der Betreff laut zum Beispiel "Hot pictures of paris hilton nude", als vorgebliche Absenderadresse dient die Adresse des Empfängers.

Der sichtbare Inhalt besteht aus besagtem Foto sowie einer WMF-Datei, die beide aus dem Internet nachgeladen werden. Beide fungieren zudem als anklickbarer Link zu ebendieser Website. Die WMF-Datei nutzt eine Sicherheitslücke in der Grafikschnittstelle von Windows, die Microsoft mit dem Security Bulletin MS06-001 gestopft hat. Sie wird praktisch von allen Virenscannern als WMF-Exploit erkannt.

Die verlinkte Website erwartet den Besucher mit einem Cocktail von Exploits, der sogar für aktuelle Versionen von Firefox etwas Passendes bereit hält. Firefox (2.0.0.3 wie 1.5.0.11) stürzt ab und der dabei eingeschleuste Code lädt mit Hilfe des Internet Explorers ein ganzes Bündel von Malware herunter.

Ein Downloader landet im Hauptverzeichnis (u.exe). Diverse EXE-Dateien, die zunächst im TEMP-Verzeichnis abgelegt werden, dienen dazu den Rechner dem Botnet der Malware-Spammer hinzu zu fügen. Außerdem wird eine DLL im System32-Verzeichnis von Windows abgelegt und als BHO (Browser Helper Object) im Internet Explorer registriert. Damit können online eingegebene Zugangsdaten ausspioniert werden.

Erkennung durch Antivirus-Software:

Antivirus

U.exe

DLL (BHO)

AntiVir

TR/Agent.1424.2

TR/Agent.10000.41

Avast!

---

---

AVG

Downloader.Generic4.FIM

---

Bitdefender

Generic.Malware.Bdld!!.0B20B769

DeepScan:Generic.Malware.dld!Z.9243DF86

ClamAV

---

---

Command AV

W32/Dlr-Trojan-Malware-based!Maximus

---

Dr Web

DLOADER.Trojan

---

eSafe

Trojan/Worm [101]

Trojan/Worm [100]

eTrust

---

Trojan/Worm [100]

Ewido

---

---

F-Prot

W32/Downloader-Sml-based!Maximus

---

F-Secure

---

---

Fortinet

W32/Dloader.LFO!tr

---

Ikarus

Win32.SuspectCrc

Trojan-Downloader.Win32.Small.ddx

Kaspersky

---

---

McAfee

---

New Malware.ca

Microsoft

---

---

Nod32

Win32/TrojanDownloader.Small.AIF

---

Norman

W32/Suspicious_F.gen

W32/Downloader.dam

Panda

Trj/Downloader.NZL

Trj/Clicker.VE

QuickHeal

Suspicious

---

Rising AV

---

Trojan.DL.Small.uei

Sophos

Mal/Packer

Mal/BenDl-A

Symantec

Downloader

Downloader

Trend Micro

--- (TROJ_DLOADER.LFO)*

---

VBA32

Win32.Trojan.Downloader

---

VirusBuster

Trojan.DL.Small.TJQ

---

WebWasher

Trojan.Agent.1424.2

Trojan.Agent.10000.41

GData AVK 2007 **

---

---


Quelle: AV-Test , Stand: 22.04.2007, 22 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
56726