61366

News-Seite über Hurrikan lädt Trojanisches Pferd

02.09.2005 | 14:31 Uhr |

Kaum ist der Wirbelsturm "Katrina" abgezogen, treten die ersten Trittbrettfahrer auf den Plan.

Im massenhaft versandten Spam-Mails wird ein Link zu einer Website verbreitet, auf der es angeblich Neuigkeiten zum Hurrikan "Katrina" geben soll, der gerade den Süden der USA heimgesucht hat. Die vermeintliche News-Seite nutzt eine ältere Sicherheitslücke im Internet Explorer aus, um ein Trojanisches Pferd einzuschleusen, das einen weiteren Schädling nachladen soll.

Wer eine solche Mail mit einem Betreff wie "Katrina killed as many as 80 people" erhält und dem Link folgt, landet auf einer Web-Seite, die tatsächlich einen Text zum versprochenen Thema enthält. Sie nutzt jedoch im Hintergrund eine alte Schwachstelle des Internet Explorers aus, falls dieser nicht durch aktuelle Updates geschützt ist. Ein Script in der Seite lädt eine HTA-Datei (HTML Application), die ihrerseits eine Datei auf die Festplatte schreibt. Diese Datei wird als "C:\fh4uh.exe" abgelegt und ist in Form von Zeichenketten in der HTA-Datei enthalten.

Diese EXE-Datei wird dann gestartet und nach Ablauf wieder gelöscht. Sie soll einen weiteren Schädling von einer anderen Website herunter laden. Diese Website ist allerdings im Gegensatz zu der vermeintlichen News-Seite nicht mehr erreichbar. Der Versuch den Schädling herunterzuladen, läuft also inzwischen ins Leere.

Die Erkennung der schädlichen Dateien durch Virenscanner ist recht unvollständig. Die News-Seite wird von vielen Virenscannern als infiziert gemeldet, etwa als "Exploit.HelpXSite" oder "JS.HelpControl!exploit". Die von ihr geladene HTA-Datei wird zum Teil als Variante von "VBS/Inor" erkannt. Die abgelegte EXE-Datei wird zum Beispiel von Sophos als "Troj/Borodldr-H" identifiziert und von Kaspersky als "Trojan-Downloader.Win32.Small.bku", mehrere weitere Antivirus-Programme melden einen generischen Downloader, da die Datei früheren Versionen ähnelt, die auf praktisch identische Weise verbreitet wurden. Die von diesem Downloader herunterzuladende Datei "win32sbk.exe" wird von mehreren Virenscannern als Variante aus der Familie "Robobot" gemeldet.

In den letzten Wochen gab es bereits mehrere ähnliche Vorfälle, bei denen Spam-Mails mit einem Link zu einer vorgeblichen News-Seite verbreitet wurden. Die Infektion der die Seite besuchenden Rechner lief nach genau dem gleichen Schema ab. Die Neugier der Menschen wird mit vermeintlichen Sensationsnachrichten genutzt, um Trojanische Pferde zu verbreiten, die vor allem Daten ausspionieren sollen.

Warnung vor falschen News-Mails (PC-WELT Online,11.08.05)

Neuer News-Spam mit bösen Links (PC-WELT Online, 15.08.05)

0 Kommentare zu diesem Artikel
61366