Malware-Spam: Billige Flugreisen
Wer hofft für 20 Euro durch Europa fliegen zu können, kann leicht in eine Falle tappen, die von den Verbreitern Trojanischer Pferde ausgelegt worden ist. Sie nutzen Schwachstellen im Browser zum Einschleusen von Malware aus.
Malware-Spammer folgen gerne bereits bewährten Mustern, solange sie damit noch genug neue Opfer finden. So haben sie gestern erneut ein vorgebliches Aktionsangebot einer Fluggesellschaft verbreitet, wie schon Ende letzter Woche. Die Mails kommen wieder mit dem Betreff "Interessanter Angebot von 'Berliner Airlines'" und enthalten einen Link zur einer Website mit südkoreanischer Domain (.kr).
Die Wiederverwertung bereits benutzter Mail-Vorlagen ist jedoch offenbar fehlerträchtig. So enthalten einige der Mails mit dem genannten Betreff ganz andere Texte, die aus einer weiteren Spam-Kampagne der letzten Woche stammen. Darin wird etwa eine vorgebliche Bestellung eines Mobiltelefons bestätigt. Diese Mails sind ursprünglich mit dem Betreff "Danke fuer den Kauf" verschickt worden.
Das Ergebnis beim Abruf der verlinkten Website bleibt jedoch das gleiche - der Rechner wird verseucht. Ein versteckter iFrame (durch mehrere hundert eingefügte Leerzeichen im Quelltext weit nach rechts verschoben) lädt ein PHP-Script von einem malaysischen Server. Dieses nutzt für den verwendeten Browser passenden Exploit-Code und lädt eine Datei "update.exe" auf den PC des Besuchers.
Das Programm legt eine Systembibliothek mit dem Dateinamen "ipv6monl.dll" im System32-Verzeichnis von Windows ab und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Diese Malware-Komponente kann eingegebene Zugangsdaten mitlesen und an die Täter übermitteln.
| Antivirus | update.exe | ipv6monl.dll |
|---|---|---|
| AntiVir | TR/Drop.Bzub.J | HEUR/Malware |
| Avast! | --- | Win32:BZub-DR [Trj] |
| AVG | --- | --- |
| Bitdefender | MemScan:Trojan.PWS.Tanspy.E | --- |
| ClamAV | Trojan.Dropper-820 | Trojan.Spy-4944 |
| Command AV | --- | --- |
| Dr Web | Trojan.PWS.Lineage | Trojan.PWS.Tanspy |
| eSafe | --- | --- |
| eTrust | --- | --- |
| Ewido | Trojan.Lineage | Logger.BZub.ip |
| F-Prot | --- | --- |
| F-Secure | Trojan-Spy.Win32.BZub.iv | Trojan-Spy.Win32.BZub.ip |
| Fortinet | PossibleThreat | --- |
| Ikarus | Trojan-Spy.Win32.Goldun.lw | Trojan-Spy.Win32.BZub.if |
| Kaspersky | Trojan-Spy.Win32.BZub.iv | Trojan-Spy.Win32.BZub.ip |
| McAfee | --- | Spy-Agent.ba.gen |
| Microsoft | --- | --- |
| Nod32 | Win32/TrojanDropper.ErPack | W32/BZub.UB |
| Norman | W32/Malware (Sandbox) | --- |
| Panda | --- | --- |
| QuickHeal | --- | --- |
| Rising AV | --- | --- |
| Sophos | Mal/Binder-C | Mal/Cimuz-A |
| Symantec | Infostealer.Bzup | Infostealer.Bzup |
| Trend Micro | TSPY_BZUB.A | TSPY_BZUB.A |
| VBA32 | MalwareScope.Trojan-Spy.BZub.1 | --- |
| VirusBuster | Trojan.DR.BZub.Gen.13 | Trojan.DR.BZub.Gen.12 |
| WebWasher | Trojan.Drop.Bzub.J | Win32.NewMalware.QS!66776 |
| GData AVK 2007 ** | Trojan-Spy.Win32.BZub.iv | Trojan-Spy.Win32.BZub.ip |
Quelle: AV-Test, Stand: 02.05.2007, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
