Vermeintliche Telekom-Rechnung greift Web-Browser an
Der Link in der gefälschten Mail führt zu einer Seite, die Sicherheitslücken im IE und in Firefox ausnutzt.
Es werden wieder Mails mit vorgetäuschten Rechnungen der Telekom verbreitet. Im aktuellen Fall enthalten die Mails keine schädlichen Anhänge - die Gefahr lauert auf der verlinkten Website. Die aufgerufene Seite soll gleich mehrere Trojanische Pferde einschleusen.
Die Mails kommen mit gefälschten Absenderangaben und einem Betreff wie zum Beispiel "Telekom Rechnung Online Monat Februar 2006", "Rechnung Telekom 01.2006", "Telekom Rechnung" oder auch "Rechnung Telekom". Die im Text genannte Rechnungssumme variiert. Der Text betont ferner, dass die Telekom die Rechnungen nicht mehr als Anhang verschicke - aus Sicherheitsgründen. Stattdessen präsentiert die HTML-Mail einen Link, dessen wahres Ziel verschleiert wird.
Dieser führt zu einer derzeit immer noch aktiven, auf einem Server in Russland liegenden Seite. Sie besteht aus einem Frameset, in dessen unteren Teil ein Login-Formular von der Telekom-Website geladen wird. So könnte die Seite als echt angesehen oder für einen Phishing-Versuch gehalten werden. Der obere Frame enthält jedoch eine umfangreiche Javascript-Konstruktion, die an Hand der vom Browser übermittelten Informationen herauszufinden versucht, welche Version von Windows und Internet Explorer eingesetzt wird. Auch an Benutzer von Firefox wurde gedacht.
Je nach Ergebnis der Ermittlungen versucht das Script nun eine bekannte Sicherheitslücke auszunutzen. Die Palette der Möglichkeiten beginnt bei Schwachstellen in der ausrangierten Java-Implementierung von Microsoft. Der im Security Bulletin MS03-011 beschriebene Fehler im ByteCode Verifier wird seit Jahren zum Einschmuggeln von Schädlingen genutzt.
Wird keine anfällige Java-VM gefunden, wird eine Schwachstelle im Windows Hilfesystem genutzt, indem eine CHM-Datei (compiled HTML) geladen wird. Eine passende Anfälligkeit ist im Scurity Bulletin MS05-001 zu finden. Ist auch diese Lücke bereits gestopft, kommt eine präparierte Mauszeigerdatei zum Einsatz, MS05-002 nennt die Details.
Der nächste Versuch soll den Internet Explorer durch einen Speicherüberlauf zum Absturz bringen. Dann wird es moderner - der seit Ende 2005 bekannte WMF-Exploit (MS06-001) wird mit einer genau ein Kilobyte großen WMF-Datei genutzt.
Benutzer von Firefox und der Mozilla Suite werden mit einer bereits in der Version 1.0.5 von Firefox und Version 1.7.10 von Mozilla beseitigten Schwachstelle angegriffen, die von der Mozilla Foundation im Security Advisory MFSA-2005-50 dokumentiert wird.
Im Erfolgsfall einer dieser Methoden steht am Ende stets das gleiche Ergebnis. Es werden mehrere Trojanische Pferde geladen, darunter ein Form-Grabber, der sich als Browser Helper Object (BHO) in den IE einklinkt und in Web-Formularen eingegebene Daten abfängt, die er an seinen Herrn und Meister übermittelt. Die Erkennung der Schädlinge durch Virenscanner ist zurzeit noch sehr lückenhaft.
Alle genutzten Sicherheitslücken sind in aktuellen Versionen der jeweiligen Browser beseitigt. Mit anderen Worten: Wenn Sie Windows und Ihren Browser stets aktuell halten, droht Ihnen hier keine Gefahr. Wenn Sie hingegen noch mit historischen "Schätzchen" im Web unterwegs sind, kann bereits auf der nächsten, völlig unauffällig erscheinenden Website ein Schädling lauern - Virenscanner und Firewall zum Trotz.
