Klatsch, Fakten, News, Betas 5.087 Themen, 27.850 Beiträge

Verfolgung starten Optionen

Falsche Mails vom T-Online Shop

hee / 0 Antworten / Flachansicht Nickles

Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen.

Betroffen sind im Grunde alle Windows-Versionen seit Windows 3.0, Updates gibt es allerdings nur für Windows 2000 (Service Pack 4), Windows XP (SP1, SP2) und Windows Server 2003.

Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll.


Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann:

Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im
Wert von Euro 729 ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen

Vielen Dank
T-Online Online Store.

Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll.

Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.

Folgende Scanner erkennen das Virus bereits:


AntiVir

-/-

Avast!

-/-

AVG

-/-

BitDefender

-/-

ClamAV

-/-

Command AV

W32/Backdoor.HXN

Dr Web

-/-

eSafe

Trojan/Worm [101]

eTrust-INO

-/-

eTrust-VET

-/-

Ewido

-/-

F-Prot

W32/Backdoor.HXN

F-Secure

Trojan-Spy.Win32.Goldun.hz

Fortinet

suspicious

Ikarus

-/-

Kaspersky

Trojan-Spy.Win32.Goldun.hz

McAfee

Spy-Agent.ak

Nod32

-/-

Norman

-/-

Panda

Suspicious file

Sophos

-/-

Symantec

-/-

Trend Micro

-/-


http://www.av-test.de/
http://www.pcwelt.de/news/sicherheit/133338/index.html
http://www.pcwelt.de/news/sicherheit/128921/index.html

-----------hee!
bei Antwort benachrichtigen