27.01.06 - Falsche Dell-Rechnung mit WMF-Exploit
Ein Link einer Mail soll ein Trojanisches Pferd einschleusen
Heute werden Mails Spam-artig über Botnets verbreitet, die vorgeblich vom Computer-Versandhändler Dell
kommen. Sie enthalten eine fiktive Auftragsbestätigung und einen Link, der angeblich zu einer Ansicht des
Auftrags führen soll. Tatsächlich wird beim Aufruf des Links eine Web-Seite geladen, die eine präparierte
WMF-Datei ("xpf.wmf") enthält. Diese nutzt eine Windows-Sicherheitslücke
(
MS06-001)
bei der Behandlung von WMF-Dateien (eigentlich ein Grafikformat) zum Einschleusen eines Schädlings.
Dieser Schädling ("file.exe" oder "U.exe") wird von derselben Website geladen und ist wiederum nur ein Downloader, der ein Installationsprogramm ("installer.exe") für das eigentliche Trojanische Pferd ("msnscps.dll") herunterlädt. Bei letzterem handelt es sich um ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Der Installer manipuliert Sicherheitseinstellungen von Windows.
Mail-Text:
Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" <order_16049@dell.de>
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.
++++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank
Dell Online Store.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Erkennung durch Antivirus-Programme (Stand: 01.02.06, 0 Uhr)
| Dateiname | xpf.wmf | file.exe | U.exe | installer.exe | msnscps.dll |
| Dateigröße | 16.036 Bytes | 5.464 Bytes | 43.736 Bytes | 33.496 Bytes |
| md5 hash | 917d9bf12a4b22bb 7822e7ca3d4f41dd |
6261f490d7a028e5 f745d5723033df5c |
ef31d876b49b4df4 53151c1f4496925c |
b4ace3ecb9ca21ba fda819a708d31b6c |
| AntiVir | EXP/MS06-001.WMF | TR/Dldr.Cashgrabber | TR/Drop.Agent.agn.2 | TR/PSW.Agent.EO.8 |
| Avast! | MS06-001 WMF Exploit | Win32:Small-DI [Trj] | -/- | -/- |
| AVG | unknown virus | Downloader.Generic.QOJ | Dropper.Agent.AKH | -/- |
| Bitdefender | Exploit.Win32.WMF-PFV | Trojan.Downloader.DI | Trojan.Dropper.Agent.AGN | Trojan.PWS.Agent.EO |
| ClamAV | Exploit.WMF.A | -/- | -/- | -/- |
| Command AV | -/- | W32/Sede.A | -/- | -/- |
| Dr Web | Exploit.MS05-053 | Trojan.DownLoader.6553 | Trojan.PWS.Tanspy | Trojan.PWS.Tanspy |
| eSafe | -/- | Trojan/Worm [100] | -/- | Trojan/Worm [101] |
| eTrust-INO | Win32/Worfo.Variant!Trojan | Win32/Clagger.5944!Trojan | -/- | -/- |
| eTrust-VET | Win32/Worfo | Win32/Clagger!generic | -/- | -/- |
| Ewido | Exploit.MS05-053-WMF | Downloader.Small.cfg | Dropper.Agent.agn | Trojan.Agent.eo |
| F-Prot | -/- | W32/Sede.A | -/- | -/- |
| F-Secure | Exploit.Win32.IMG-WMF | Trojan-Downloader.Win32.Small.chd | Trojan-Dropper.Win32.Agent.agn | Trojan-PSW.Win32.Agent.eo |
| Fortinet | W32/WMF!exploit | W32/Clagger.E!tr | W32/Agent.AGN!dr | suspicious |
| Ikarus | Exploit.IMG-WMF | Trojan-Downloader.Win32.Small.CFG | Trojan-Dropper.Win32.Agent.AGN | Trojan-PSW.Win32.Agent.EO |
| Kaspersky | Exploit.Win32.IMG-WMF | Trojan-Downloader.Win32.Small.chd | Trojan-Dropper.Win32.Agent.agn | Trojan-PSW.Win32.Agent.eo |
| McAfee | Exploit-WMF trojan | Generic Downloader.u trojan | -/- | -/- |
| Nod32 | Win32/Exploit.WMF trojan | Win32/TrojanClicker.Small.GP | Win32/TrojanDropper.Agent.AGN | Win32/PSW.Agent.NAI |
| Norman | W32/Exploit.Gen | W32/DLoader.RCO | W32/Agent.TMR | W32/Agent.TMQ |
| Panda | Exploit/Metafile | Trj/Downloader.HKA | -/- | Suspicious file |
| Sophos | Exp/WMF-A | Troj/Dloadr-HR | Troj/PWS-EC | Troj/PWS-EC |
| Symantec | Download.Trojan | Download.Trojan | -/- | -/- |
| Trend Micro | TROJ_NASCENE.Y | TROJ_SMALL.AZY | TSPY_AGENT.AMG | -/- |