226784

Vorgebliche Kreditkartenabrechnung mit PDF-Exploit

11.12.2009 | 14:09 Uhr |

Spam-artig verbreitete Mails, die vorgeblich von VISA stammen, sollen die Empfänger auf eine gefälschte Website locken. Dort erwartet sie statt einer Kartenabrechnung Malware im Doppelpack.

Imitation der VISA-Website
Vergrößern Imitation der VISA-Website
© 2014

Nach dem Online-Shopping zu Weihnachten kommt die Abrechnung für die Kreditkarte, das erscheint zunächst logisch. Aber ach, in der Mail heißt es, die Karte sei missbraucht worden. Der Link in der Mail führt zu einer Website, die der von VISA ähnelt. Dort gibt es dann eine EXE-Datei zum Download und eine PDF-Datei wird einem direkt nach geworfen.

Die Mails werden mit einem Betreff wie "possible fraudulent transaction" und gefälschten Absenderangaben verschickt. Laut englischem Mail-Text habe sich heraus gestellt, dass die Kreditkarte an einem Geldautomaten ("ATM") in Weißrussland (Belarus) benutzt worden sei. Die Transaktion sei vorsichtshalber gestoppt worden. Der Empfänger möge doch den elektronischen Kreditkartenreport sorgfältig prüfen. Dazu ist ein personalisierter Link angegeben, dessen wahres Ziel vom angezeigten Link-Text abweicht.

Der Link führt auf eine Imitation der VISA-Website, auf der man sich eine vorgebliche Kreditkartenabrechnung in Gestalt einer etwa 130 KB großen EXE-Datei namens "cardstatement.exe" herunter laden soll. Zugleich wird dem Besucher noch eine PDF-Datei aufgedrängt. Beide dienen dazu dem Opfer Trojanische Pferde unter zu schieben. Die EXE-Datei enthält einen Schädling aus der Zbot-Familie, die PDF-Datei Exploit-Code für Sicherheitslücken in nicht ganz aktuellen Versionen des Adobe Reader.

Die Erkennung der Schädlinge durch Virenscanner ergibt bislang ein gemischtes Bild:

Antivirus

EXE-Datei

PDF-Datei

AntiVir

TR/Crypt.XPACK.Gen

EXP/Pidief.FV

Authentium

---

---

Avast

---

---

AVG

---

---

Bitdefender

---

Exploit.PDF-JS.Gen

CA-AV

Win32/Zbot.ED

---

ClamAV

---

---

Dr.Web

---

---

Eset Nod32

---

---

Fortinet

---

---

F-Prot

---

---

F-Secure

Suspicious:W32/Malware!Gemini

Exploit.PDF-JS.Gen

G-Data AVK 2008

Trojan-Spy.Win32.Zbot.gen

Exploit.JS.Pdfka.aqy

G-Data AVK 2009

---

Exploit.PDF-JS.Gen

Ikarus

Trojan-Spy.Win32.Zbot

Exploit.JS.Pdfka

K7 Computing

---

---

Kaspersky

Trojan-Spy.Win32.Zbot.gen

Exploit.JS.Pdfka.aqy

McAfee

---

---

McAfee Artemis

Artemis!06F22A3C5EBC (trojan)

---

McAfee GW Edition

Heuristic.BehavesLike.Win32.Trojan.H

Exploit.Pidief.FV

Microsoft

---

Exploit:Win32/Pdfjsc.CM

Norman

---

---

Panda

--- (Trj/Sinowal.DW)*

---

Panda (Online)

Trj/CI.A

---

PC Tools

Trojan-PSW.Banker

Trojan.Pidief

QuickHeal

---

---

Rising AV

Dropper.Win32.Undef.GEN [Suspicious]

Hack.Exploit.PDF.e

Sophos

Mal/Generic-A

Troj/PDFEx-CD

Spybot S&D

---

---

Sunbelt

Trojan-Spy.Win32.Zbot.gen (v)

Exploit.PDF-JS.Gen (v)

Symantec

Infostealer.Banker.C (Trojan.Zbot!gen3)*

Trojan.Pidief.F

Trend Micro

TSPY_ZBOT.SMJF

---

VBA32

---

---

VirusBuster

---

---

Webroot

Mal/Generic-A

Troj/PDFEx-CD


Quelle: AV-Test , Stand: 11.12.2009, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
226784