13072

Postkarten-Mails laden Trojanisches Pferd

10.02.2006 | 14:47 Uhr |

Mails verheißen eine elektronische Postkarte, sollen jedoch einen Key-Logger installieren.

Möglicherweise im Zusammenhang mit dem bevor stehenden Valentinstag werden seit gestern Mails verbreitet, die vorgeblich eine Benachrichtigung über eine elekronische Grußkarte enthalten. Tatsächlich jedoch soll eine Javascript-Konstruktion letztlich ein Trojanisches Pferd aus dem Internet laden und installieren.

Die Mails kommen mit dem Betreff "You have received a postcard" und der Absenderangabe "post@postcard.com". Sie enthalten weder einen Text noch ein Bild. Der HTML-Teil der Mails enthält jedoch einen Link, der beim Anklicken zu einer unverdächtigen Website wie zum Beispiel Yahoo oder zu einer Reiseagentur führen würde.

Der eigentliche Trick besteht in einer Javascript-Konstruktion, die als Hintergrundbild für diesen Link definiert ist. Dieses Script dient zunächst nur zur Verschleierung der Download-Adresse, von wo über eine PHP-Seite eine HTA- und eine EXE-Datei geladen werden.

Die HTA-Datei wird vom Internet Explorer, dessen Komponenten manche Mail-Programme zur Anzeige von HTML-Mails verwenden, interpretiert. Sie enthält mehrere Scripte, wodurch die EXE-Datei als Plug-in für den Internet Explorer installiert werden soll. Dazu nutzt die HTA-Datei eine altbekannte Sicherheitslücke im Internet Explorer (Exploit.ADODB).

Wenn Sie ein Mail-Programm wie zum Beispiel Mozilla Thunderbird oder Pegasus Mail einsetzen, werden Sie lediglich eine leere Mail zu sehen bekommen und nichts wird passieren. Auch mit einem aktuellen Internet Explorer 6 und dem zugehörigen Outlook Express oder einer neueren Outlook-Version sollte die Absicht der Mail-Versender buchstäblich ins Leere laufen. Gefährdet sind vor allem Benutzer veralteter Versionen des Internet Explorers oder von dessen Mail-Programm Outlook Express - selbst wenn Sie sonst mit einem anderen Browser im Web unterwegs sind.

Erkennung der EXE-Datei durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Spy.Small.dg

Avast!

-/-

AVG

PSW.Generic.QFZ

BitDefender

-/-

ClamAV

-/-

Command AV

-/-

Dr Web

-/-

eSafe

Trojan/Worm [101]

eTrust-INO

Win32/Anserin.AA!Dropper

eTrust-VET

-/-

Ewido

Logger.Small.eu

F-Prot

-/-

F-Secure

Trojan-Spy.Win32.Small.dg

Fortinet

W32/Small.CDK!dldr

Ikarus

Backdoor.Win32.PcClient.GV

Kaspersky

Trojan-Spy.Win32.Small.dg

McAfee

-/-

Nod32

Win32/TrojanDropper.Small.NDG

Norman

-/-

Panda

Suspicious file

Sophos

-/-

Symantec

-/-

Trend Micro

TROJ_SMALL.BGJ


Quelle: AV-Test (www.av-test.de), Stand: 10.02.06, 13:00 Uhr

0 Kommentare zu diesem Artikel
13072