11.08.2005, 14:59

Frank Ziemann

Warnung vor falschen News-Mails

Harmlos aussehende Mail mit angeblichen News über iranische Atompläne linken zu Virenseiten.
Es werden an sich harmlose Spam-Mails verbreitet, die beispielsweise Nachrichten über die Pläne des Iran zur Nutzung der Kernenergie enthalten sollen. Die Mails enthalten jedoch einen Link zu einer Seite, auf der man angeblich die ganze Nachricht lesen kann. Dort steht auch ein Text, die Tücke lauert jedoch unsichtbar im Hintergrund.
Die Mails kommen mit einem Betreff wie "Iran snubs pleas, resumes uranium shift", "TThe PPhantom Menace", "Iranian media hail resumpptiion of nuclear work" und diverse andere. Jede dieser Mails enthält in der HTML-Ansicht einen Link zu einer anderen Sub-Domain auf der gleichen Website (votnews.com). Wer HTML ausgeschaltet hat, sieht nur sinnfreien Textmüll, wie er auch bei Spam-Mails üblich ist.
Klickt man auf den Link, wird eine Seite geladen, die verschiedene Exploits (Ausnutzung von Sicherheitslücken) am Internet Explorer durchprobiert. So wird etwa eine HTA-Datei geladen, die über eine bekannte Sicherheitslücke im Internet Explorer mit dem Media Player interagiert. Dabei wird im Erfolgsfall von einem VB-Script eine Datei "C:\netlog.exe" auf die Festplatte geschrieben und gestartet. Diese Datei ist in Form von Zeichenketten in der HTA-Datei bereits enthalten, wird also nicht aus dem Web nachgeladen. Sie wird nach Ausführung wieder gelöscht.
Die netlog.exe fungiert als Downloader, lädt also ihrerseits weitere Schädlinge auf den PC. Dazu gehört ein Trojanisches Pferd, das als Backdoor dient. Es öffnet eine Hintertür, durch die der befallene PC über das Internet ferngesteuert werden kann. Die netlog.exe wird von den meisten Virenscannern bereits erkannt. So meldet Antivir "TR/Dldr.Small.bfw", McAfee "Downloader-WN" und Symantec/Norton "Download.Trojan".
Derartige Mails gab es auch in der letzten Woche, die vermeintlichen Nachrichten bezogen sich auf Ereignisse im Irak. Die Websites mit den Exploits konnten inzwischen geschlossen werden. Es muss jedoch davon ausgegangen werden, dass es demnächst wieder solche Mails geben wird, die auf neue Websites mit möglicherweise aktuelleren Exploits linken.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

31232
Content Management by InterRed