44390

Vorgebliche Rechnungen mit gefährlichem Link

01.03.2007 | 16:31 Uhr |

Die Versender von vorgeblichen Rechnungen haben sich auf eine andere Masche verlegt. Sie senden keine Anhänge mehr sondern verlinken auf eine Website, die Sicherheitslücken ausnutzen soll, um Schädlinge einzuschleusen.

Seit gestern werden wieder Spam-artig vorgebliche Rechnungen einer "TMS Logistik GmbH" verbreitet. Inzwischen haben die Mail-Versender allerdings ihre Taktik geändert. Sie schicken keine Trojanischen Pferde als Mail-Anhang mit, sondern fügen im Text der Mails einen Link ein. Dieser Link verweist auf eine Website mit südkoreanischer Domain, die wohl kaum geeignet ist das Vertrauen aufmerksamer Mail-Empfänger zu erwecken.

Misstrauen ist auch angebracht - die verlinkte Web-Seite ist mit dem Webattacker-Toolkit präpariert, das verschiedene Exploits für bekannte Sicherheitslücken im Internet Explorer enthält. Möglicherweise ist auch ein halbwegs aktueller Firefox-Exploit dabei. Die Sicherheitslücken werden ausgenutzt um eine 2 KB große EXE-Datei einzuschleusen und auszuführen. Dabei handelt es sich um ein Trojanisches Pferd, das die Aufgabe der früheren Mail-Anhänge übernimmt: es lädt einen weiteren Schädling herunter. Dieser soll dann etwa Zugangsdaten für das Online-Banking ausspionieren.

Die Erkennung der Schädlinge durch Antivirus-Programme ist noch recht lückenhaft:

Antivirus

Malware 1

Malware 2

AntiVir

TR/Agent.2084

DR/Delphi.Gen

Avast!

---

---

AVG

---

---

Bitdefender

---

---

ClamAV

Trojan.Spy-1456

---

Command AV

W32/Downloader.gen10

---

Dr Web

---

---

eSafe

---

Trojan/Worm [100]

eTrust

---

---

Ewido

---

Logger.BZub.ic

F-Prot

W32/Downloader.gen10

---

F-Secure

---

Trojan-Spy.Win32.BZub.ic

Fortinet

suspicious

suspicious

Ikarus

Win32.SuspectCrc

Trojan-Spy.Win32.Goldun.lw

Kaspersky

---

Trojan-Spy.Win32.BZub.ic

McAfee

---

---

Microsoft

---

---

Nod32

NewHeur_PE

---

Norman

W32/DLoader.CDLB

Suspicious_F.gen

Panda

Suspicious file

---

QuickHeal

Suspicious

Suspicious

Rising AV

---

---

Sophos

---

Mal/Packer

Symantec

---

---

Trend Micro

---

---

UNA

---

---

VBA32

Win32.Trojan.Downloader

MalwareScope.Trojan-Spy.BZub.1

VirusBuster

---

Packed/FSG

WebWasher

Trojan.Agent.2084

Trojan.Delphi.Gen

GData AVK 2007 **

---

Trojan-Spy.Win32.BZub.ic


Quelle: AV-Test , Stand: 01.03.2007, 16 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
44390