100544

Malware-Spam: Billige Flugreisen

02.05.2007 | 13:59 Uhr |

Wer hofft für 20 Euro durch Europa fliegen zu können, kann leicht in eine Falle tappen, die von den Verbreitern Trojanischer Pferde ausgelegt worden ist. Sie nutzen Schwachstellen im Browser zum Einschleusen von Malware aus.

Malware-Spammer folgen gerne bereits bewährten Mustern, solange sie damit noch genug neue Opfer finden. So haben sie gestern erneut ein vorgebliches Aktionsangebot einer Fluggesellschaft verbreitet, wie schon Ende letzter Woche . Die Mails kommen wieder mit dem Betreff "Interessanter Angebot von 'Berliner Airlines'" und enthalten einen Link zur einer Website mit südkoreanischer Domain (.kr).

Die Wiederverwertung bereits benutzter Mail-Vorlagen ist jedoch offenbar fehlerträchtig. So enthalten einige der Mails mit dem genannten Betreff ganz andere Texte, die aus einer weiteren Spam-Kampagne der letzten Woche stammen. Darin wird etwa eine vorgebliche Bestellung eines Mobiltelefons bestätigt. Diese Mails sind ursprünglich mit dem Betreff "Danke fuer den Kauf" verschickt worden.

Das Ergebnis beim Abruf der verlinkten Website bleibt jedoch das gleiche - der Rechner wird verseucht. Ein versteckter iFrame (durch mehrere hundert eingefügte Leerzeichen im Quelltext weit nach rechts verschoben) lädt ein PHP-Script von einem malaysischen Server. Dieses nutzt für den verwendeten Browser passenden Exploit-Code und lädt eine Datei "update.exe" auf den PC des Besuchers.

Das Programm legt eine Systembibliothek mit dem Dateinamen "ipv6monl.dll" im System32-Verzeichnis von Windows ab und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Diese Malware-Komponente kann eingegebene Zugangsdaten mitlesen und an die Täter übermitteln.

Antivirus

update.exe

ipv6monl.dll

AntiVir

TR/Drop.Bzub.J

HEUR/Malware

Avast!

---

Win32:BZub-DR [Trj]

AVG

---

---

Bitdefender

MemScan:Trojan.PWS.Tanspy.E

---

ClamAV

Trojan.Dropper-820

Trojan.Spy-4944

Command AV

---

---

Dr Web

Trojan.PWS.Lineage

Trojan.PWS.Tanspy

eSafe

---

---

eTrust

---

---

Ewido

Trojan.Lineage

Logger.BZub.ip

F-Prot

---

---

F-Secure

Trojan-Spy.Win32.BZub.iv

Trojan-Spy.Win32.BZub.ip

Fortinet

PossibleThreat

---

Ikarus

Trojan-Spy.Win32.Goldun.lw

Trojan-Spy.Win32.BZub.if

Kaspersky

Trojan-Spy.Win32.BZub.iv

Trojan-Spy.Win32.BZub.ip

McAfee

---

Spy-Agent.ba.gen

Microsoft

---

---

Nod32

Win32/TrojanDropper.ErPack

W32/BZub.UB

Norman

W32/Malware (Sandbox)

---

Panda

---

---

QuickHeal

---

---

Rising AV

---

---

Sophos

Mal/Binder-C

Mal/Cimuz-A

Symantec

Infostealer.Bzup

Infostealer.Bzup

Trend Micro

TSPY_BZUB.A

TSPY_BZUB.A

VBA32

MalwareScope.Trojan-Spy.BZub.1

---

VirusBuster

Trojan.DR.BZub.Gen.13

Trojan.DR.BZub.Gen.12

WebWasher

Trojan.Drop.Bzub.J

Win32.NewMalware.QS!66776

GData AVK 2007 **

Trojan-Spy.Win32.BZub.iv

Trojan-Spy.Win32.BZub.ip


Quelle: AV-Test , Stand: 02.05.2007, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
100544