Warnung vor falschen News-Mails

Donnerstag den 11.08.2005 um 14:59 Uhr

von Frank Ziemann

Harmlos aussehende Mail mit angeblichen News über iranische Atompläne linken zu Virenseiten.

Es werden an sich harmlose Spam-Mails verbreitet, die beispielsweise Nachrichten über die Pläne des Iran zur Nutzung der Kernenergie enthalten sollen. Die Mails enthalten jedoch einen Link zu einer Seite, auf der man angeblich die ganze Nachricht lesen kann. Dort steht auch ein Text, die Tücke lauert jedoch unsichtbar im Hintergrund.

Die Mails kommen mit einem Betreff wie "Iran snubs pleas, resumes uranium shift", "TThe PPhantom Menace", "Iranian media hail resumpptiion of nuclear work" und diverse andere. Jede dieser Mails enthält in der HTML-Ansicht einen Link zu einer anderen Sub-Domain auf der gleichen Website (votnews.com). Wer HTML ausgeschaltet hat, sieht nur sinnfreien Textmüll, wie er auch bei Spam-Mails üblich ist.

Klickt man auf den Link, wird eine Seite geladen, die verschiedene Exploits (Ausnutzung von Sicherheitslücken) am Internet Explorer durchprobiert. So wird etwa eine HTA-Datei geladen, die über eine bekannte Sicherheitslücke im Internet Explorer mit dem Media Player interagiert. Dabei wird im Erfolgsfall von einem VB-Script eine Datei "C:\netlog.exe" auf die Festplatte geschrieben und gestartet. Diese Datei ist in Form von Zeichenketten in der HTA-Datei bereits enthalten, wird also nicht aus dem Web nachgeladen. Sie wird nach Ausführung wieder gelöscht.

Die netlog.exe fungiert als Downloader, lädt also ihrerseits weitere Schädlinge auf den PC. Dazu gehört ein Trojanisches Pferd, das als Backdoor dient. Es öffnet eine Hintertür, durch die der befallene PC über das Internet ferngesteuert werden kann. Die netlog.exe wird von den meisten Virenscannern bereits erkannt. So meldet Antivir "TR/Dldr.Small.bfw", McAfee "Downloader-WN" und Symantec/Norton "Download.Trojan".

Derartige Mails gab es auch in der letzten Woche, die vermeintlichen Nachrichten bezogen sich auf Ereignisse im Irak. Die Websites mit den Exploits konnten inzwischen geschlossen werden. Es muss jedoch davon ausgegangen werden, dass es demnächst wieder solche Mails geben wird, die auf neue Websites mit möglicherweise aktuelleren Exploits linken.

Donnerstag den 11.08.2005 um 14:59 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
31232