23.04.2007, 09:06

Frank Ziemann

Malware: Paris Hilton lädt zum Exploit-Cocktail

In einer nächtlichen Spam-Aktion ist am vergangenen Freitag eine neue Welle von Mails verbreitet worden, in denen neben einer WMF-Datei mit Exploit-Code ein Link zu einer mit Exploits nur so gespickten Website steckt.
Eine bereits länger laufende Malware-Spam-Kampagne hat in der Nacht die nächste Welle gefährlicher Mails in die Postfächer der Anwender gespült. Die Versender buhlen mit einem freizügigen Foto von Paris Hilton um die Mausklicks der potenziellen Opfer. Der Betreff laut zum Beispiel "Hot pictures of paris hilton nude", als vorgebliche Absenderadresse dient die Adresse des Empfängers.
Der sichtbare Inhalt besteht aus besagtem Foto sowie einer WMF-Datei, die beide aus dem Internet nachgeladen werden. Beide fungieren zudem als anklickbarer Link zu ebendieser Website. Die WMF-Datei nutzt eine Sicherheitslücke in der Grafikschnittstelle von Windows, die Microsoft mit dem Security Bulletin MS06-001 gestopft hat. Sie wird praktisch von allen Virenscannern als WMF-Exploit erkannt.
Die verlinkte Website erwartet den Besucher mit einem Cocktail von Exploits, der sogar für aktuelle Versionen von Firefox etwas Passendes bereit hält. Firefox (2.0.0.3 wie 1.5.0.11) stürzt ab und der dabei eingeschleuste Code lädt mit Hilfe des Internet Explorers ein ganzes Bündel von Malware herunter.
Ein Downloader landet im Hauptverzeichnis (u.exe). Diverse EXE-Dateien, die zunächst im TEMP-Verzeichnis abgelegt werden, dienen dazu den Rechner dem Botnet der Malware-Spammer hinzu zu fügen. Außerdem wird eine DLL im System32-Verzeichnis von Windows abgelegt und als BHO (Browser Helper Object) im Internet Explorer registriert. Damit können online eingegebene Zugangsdaten ausspioniert werden.
Erkennung durch Antivirus-Software:
Antivirus U.exe DLL (BHO)
AntiVir TR/Agent.1424.2 TR/Agent.10000.41
Avast! --- ---
AVG Downloader.Generic4.FIM ---
Bitdefender Generic.Malware.Bdld!!.0B20B769 DeepScan:Generic.Malware.dld!Z.9243DF86
ClamAV --- ---
Command AV W32/Dlr-Trojan-Malware-based!Maximus ---
Dr Web DLOADER.Trojan ---
eSafe Trojan/Worm [101] Trojan/Worm [100]
eTrust --- Trojan/Worm [100]
Ewido --- ---
F-Prot W32/Downloader-Sml-based!Maximus ---
F-Secure --- ---
Fortinet W32/Dloader.LFO!tr ---
Ikarus Win32.SuspectCrc Trojan-Downloader.Win32.Small.ddx
Kaspersky --- ---
McAfee --- New Malware.ca
Microsoft --- ---
Nod32 Win32/TrojanDownloader.Small.AIF ---
Norman W32/Suspicious_F.gen W32/Downloader.dam
Panda Trj/Downloader.NZL Trj/Clicker.VE
QuickHeal Suspicious ---
Rising AV --- Trojan.DL.Small.uei
Sophos Mal/Packer Mal/BenDl-A
Symantec Downloader Downloader
Trend Micro --- (TROJ_DLOADER.LFO)* ---
VBA32 Win32.Trojan.Downloader ---
VirusBuster Trojan.DL.Small.TJQ ---
WebWasher Trojan.Agent.1424.2 Trojan.Agent.10000.41
GData AVK 2007 ** --- ---

Quelle: AV-Test, Stand: 22.04.2007, 22 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
56726
Content Management by InterRed