Hoax-Info.de
nach oben
 

27.01.06 - Falsche Dell-Rechnung mit WMF-Exploit

Ein Link einer Mail soll ein Trojanisches Pferd einschleusen

Heute werden Mails Spam-artig über Botnets verbreitet, die vorgeblich vom Computer-Versandhändler Dell kommen. Sie enthalten eine fiktive Auftragsbestätigung und einen Link, der angeblich zu einer Ansicht des Auftrags führen soll. Tatsächlich wird beim Aufruf des Links eine Web-Seite geladen, die eine präparierte WMF-Datei ("xpf.wmf") enthält. Diese nutzt eine Windows-Sicherheitslücke (MS06-001) bei der Behandlung von WMF-Dateien (eigentlich ein Grafikformat) zum Einschleusen eines Schädlings.

Dieser Schädling ("file.exe" oder "U.exe") wird von derselben Website geladen und ist wiederum nur ein Downloader, der ein Installationsprogramm ("installer.exe") für das eigentliche Trojanische Pferd ("msnscps.dll") herunterlädt. Bei letzterem handelt es sich um ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer. Das BHO soll Anmeldedaten für das Online-Banking ausspionieren. Der Installer manipuliert Sicherheitseinstellungen von Windows.

Mail-Text:
Date sent:      Fri, 27 Jan 2006 13:29:42 -0300
From:           "Dell Online Store" <order_16049@dell.de>
Subject:        Ihr Auftrag # 16049  im Wert von 697.00 Euro ist angenommen.

++++++++++++++++++++++
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank
Dell Online Store.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Erkennung durch Antivirus-Programme (Stand: 01.02.06, 0 Uhr)