105618

Vorgebliche Rechnungen mit gefährlichem Link

15.03.2007 | 15:30 Uhr |

Die Versender vorgeblicher Rechnungen sind wieder aktiv. Einmal mehr vermeiden sie den Versand von Dateianhängen und schicken stattdessen lediglich einen Link auf eine Webseite mit Exploit-Code.

In heute versandten falschen Rechnungen einer "TMS Logistik GmbH" ist ein Link auf eine Webseite in Südkorea enthalten, die mit dem Web-Attacker-Toolkit präpariert ist. Die Mails kommen mit einem Betreff wie "KD 56132 Webshop Bestellung 27.02.2007" (die Nummer variiert). Im Text heißt es: "Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt." Danach folgt der nicht verschleierte Link nach Korea (.co.kr).

Wird der Link angeklickt, öffnet der Browser eine präparierte Seite, die einen winzigen Iframe von einer anderen Website nachlädt. Dieser enthält eine PHP-Anweisung zum Download eine EXE-Datei. Durch Ausnutzen von bekannten Sicherheitslücken im Browser, vor allem im Internet Explorer, wird die EXE-Datei eingeschleust und ausgeführt.

Es handelt sich dabei um ein Trojanisches Pferd aus der "Goldun"-Familie. Diese Schädlinge sind vor allem auf das Ausspionieren von Passwörtern und Zugangsdaten spezialisiert. Die hier verwendete neue Variante wird bislang nur von wenigen Virenscannern erkannt. Allerdings filtern einige Provider bereits Mails aus, die einen Link zu der koreanischen Webseite enthalten.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

TR/Dldr.iBill.AB

Avast!

---

AVG

---

Bitdefender

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

---

eTrust

---

Ewido

Downloader.Agent.bhc

F-Prot

---

F-Secure

---

Fortinet

---

Ikarus

Trojan-Spy.Win32.Goldun.lw

Kaspersky

---

McAfee

---

Microsoft

---

Nod32

---

Norman

W32/Malware (Sandbox)

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Mal/Binder-C

Symantec

---

Trend Micro

---

UNA

---

VBA32

---

VirusBuster

Trojan.DR.BZub.Gen.8

WebWasher

Trojan.Dldr.iBill.AB

GData AVK 2007 *

---

0 Kommentare zu diesem Artikel
105618