137336

Telekom-Phishing geht in eine zweite Runde

Heute verbreitete gefälschte Telekom-Rechnungen, die keinen Anhang haben, sind genauso gefährlich.

Bereits gestern berichteten wir über Mails, die vorgaben von der Telekom zu stammen und ein Trojanisches Pferd als Anhang mitbrachten. Diese Welle setzt sich heute weiter fort und tritt in eine zweite Phase. Seit heute Nacht werden ganz ähnliche Mails verbreitet, die jedoch keinerlei Datei im Anhang haben.

Wie schon die Mails von gestern laden diese Mails eine Bilddatei von einem Server in China, die einen Link optisch darstellt und mit dem chinesischen Server verlinkt ist. Dort wird ein Frameset geladen, in dessen oberen Teil eine Telekom-Seite vom Original-Server der T-Com geladen wird. Diese Seite dient der Anmeldung für Rechnung Online.

Der zweite Frame des Framesets enthält jedoch ein Seite, die im Wesentlichen aus verschlüsseltem VBScript-Code besteht. Wird die Website, die immer noch aktiv ist, mit einem Internet Explorer besucht, der nicht mit allen Sicherheits-Updates versehen ist, lädt sie das gleiche Trojanische Pferd auf den Rechner wie der Anhang der gestrigen Mails. Dazu nutzt das Script etliche bekannte Sicherheitslücken im Internet Explorer aus. Darunter ist auch die kürzlich bekannt gewordene JView-Schwachstelle, die in Microsofts Security Bulletin MS05-037 behandelt wird.

Der Schädling wird inzwischen von den meisten Virenscannern erkannt, wenn sie mit den neuesten Updates versorgt werden. Es handelt sich um ein Trojanisches Pferd, das auf das Ausspionieren von Zugangsdaten für das Online-Banking spezialisiert ist. Die Schwachstellen im Internet Explorer können mit Sicherheits-Updates von Microsoft geschlossen werden. Die Deaktivierung von ActiveX bietet zusätzliche Sicherheit.

Gefälschte Telekom-Rechnungen (PC-WELT Online, 19.07.2005)

0 Kommentare zu diesem Artikel
137336