43234

Spiegel-Spam lockt in die Web-Falle

01.02.2007 | 17:44 Uhr |

Die vorgebliche Sensationsmeldung, dass "Schumi" wieder fahren soll, dient Spammern als Lockmittel, um unvorsichtige Mail-Empfänger auf eine präparierte Website zu locken. Diese nutzt Sicherheitslücken zum Einschleusen von Malware.

Seit gestern Abend werden massenhaft Spam-Mails verbreitet, die vorgeblich vom Hamburger Nachrichtenmagazin Spiegel kommen. Mit dem Betreff "Schummi wiederkehrt! (spiegelonline.de)" und der gefälschte Absenderangabe "www.spiegel.de" verlocken die Spam-Versender erst zum Öffnen der Mails und dann zum Klick auf die darin enthaltenen Links.

Der Inhalt der Mail strotzt nur so vor Stilblüten und Schreibfehlern wie "Lesen Sie das Internet Auslegung" oder "Saadam Husein ist lebendig!? Interview mit Kondoliza Rais". Das allein sollte potenzielle schon Opfer stutzig machen. Die Links führen auch keineswegs zur Website des Spiegel sondern auf eine präparierte Seite auf einem chinesischen Web-Server. Je nach verwendetem Browser bekommt der Besucher der Seite nur Fehlermeldungen zu sehen.

Beim Aufruf der Seite mit einem ungepflegten Internet Explorer jedoch wird auch Exploit-Code ausgeführt, der zwei altbekannte Sicherheitslücken ausnutzt, wie auch Trend Micro im Weblog seiner Virenforscher vermeldet. Diese Schwachstellen werden in den Microsoft Security Bulletins MS06-014 sowie MS06-071 behandelt und betreffen die MDAC-Funktion (Microsoft Data Access Components) sowie die XML Core Services.

Diese Schwachstellen werden ausgenutzt um Malware einzuschleusen. Mit deaktiviertem Javascript im Browser passiert allerdings nichts. Andernfalls wird ein als JPG-Datei getarntes Trojanisches Pferd eingeschmuggelt, das aus dem gleichen Stall zu stammen scheint wie die verschiedenen falschen Rechnungen der letzten Wochen. Dies unterstreicht die Prognosen verschiedener Sicherheitsfachleute, wonach Web-basierte Angriffe weiter zunehmen. Klicken Sie also nicht auf die Links in Mails zweifelhafter Herkunft - auch wenn keine EXE-Datei im Anhang der Mail steckt, droht hier Gefahr.

Erkennung des eingeschleusten Schädlings durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

TR/Dldr.iBill.H

Avast!

Win32:Agent-ENH [Trj]

AVG

---

Bitdefender

---

ClamAV

Trojan.Downloader-890

Command

---

Dr Web

---

eSafe

---

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

---

F-Secure

---

Fortinet

suspicious (W32/Dloader.HMB!tr)*

Ikarus

---

Kaspersky

---

McAfee

---

Microsoft

---

Nod32

Win32/TrojanDownloader.Nurech.NAD

Norman

W32/Malware.JET

Panda

---

QuickHeal

---

Rising

---

Sophos

---

Symantec

---

Trend Micro

TROJ_DLOADER.HMB

UNA

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Dldr.iBill.H

GData AVK **

Win32:Agent-ENH [Trj]


Quelle: AV-Test , Stand: 01.02.2007, 16 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
43234