Vorgebliche Rechnungen mit gefährlichem Link
Die Versender von vorgeblichen Rechnungen haben sich auf eine andere Masche verlegt. Sie senden keine Anhänge mehr sondern verlinken auf eine Website, die Sicherheitslücken ausnutzen soll, um Schädlinge einzuschleusen.
Seit gestern werden wieder Spam-artig vorgebliche Rechnungen einer "TMS Logistik GmbH" verbreitet. Inzwischen haben die Mail-Versender allerdings ihre Taktik geändert. Sie schicken keine Trojanischen Pferde als Mail-Anhang mit, sondern fügen im Text der Mails einen Link ein. Dieser Link verweist auf eine Website mit südkoreanischer Domain, die wohl kaum geeignet ist das Vertrauen aufmerksamer Mail-Empfänger zu erwecken.
Misstrauen ist auch angebracht - die verlinkte Web-Seite ist mit dem Webattacker-Toolkit präpariert, das verschiedene Exploits für bekannte Sicherheitslücken im Internet Explorer enthält. Möglicherweise ist auch ein halbwegs aktueller Firefox-Exploit dabei. Die Sicherheitslücken werden ausgenutzt um eine 2 KB große EXE-Datei einzuschleusen und auszuführen. Dabei handelt es sich um ein Trojanisches Pferd, das die Aufgabe der früheren Mail-Anhänge übernimmt: es lädt einen weiteren Schädling herunter. Dieser soll dann etwa Zugangsdaten für das Online-Banking ausspionieren.
Die Erkennung der Schädlinge durch Antivirus-Programme ist noch recht lückenhaft:
| Antivirus | Malware 1 | Malware 2 |
|---|---|---|
| AntiVir | TR/Agent.2084 | DR/Delphi.Gen |
| Avast! | --- | --- |
| AVG | --- | --- |
| Bitdefender | --- | --- |
| ClamAV | Trojan.Spy-1456 | --- |
| Command AV | W32/Downloader.gen10 | --- |
| Dr Web | --- | --- |
| eSafe | --- | Trojan/Worm [100] |
| eTrust | --- | --- |
| Ewido | --- | Logger.BZub.ic |
| F-Prot | W32/Downloader.gen10 | --- |
| F-Secure | --- | Trojan-Spy.Win32.BZub.ic |
| Fortinet | suspicious | suspicious |
| Ikarus | Win32.SuspectCrc | Trojan-Spy.Win32.Goldun.lw |
| Kaspersky | --- | Trojan-Spy.Win32.BZub.ic |
| McAfee | --- | --- |
| Microsoft | --- | --- |
| Nod32 | NewHeur_PE | --- |
| Norman | W32/DLoader.CDLB | Suspicious_F.gen |
| Panda | Suspicious file | --- |
| QuickHeal | Suspicious | Suspicious |
| Rising AV | --- | --- |
| Sophos | --- | Mal/Packer |
| Symantec | --- | --- |
| Trend Micro | --- | --- |
| UNA | --- | --- |
| VBA32 | Win32.Trojan.Downloader | MalwareScope.Trojan-Spy.BZub.1 |
| VirusBuster | --- | Packed/FSG |
| WebWasher | Trojan.Agent.2084 | Trojan.Delphi.Gen |
| GData AVK 2007 ** | --- | Trojan-Spy.Win32.BZub.ic |
Quelle: AV-Test, Stand: 01.03.2007, 16 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
