Gefälschte Dell-Rechnung enthält WMF-Exploit

Eine gefälschte Rechnung des PC-Herstellers Dell findet sich inzwischen in immer mehr Postfächern. Über eine vermeintlich gekaufte Digitalkamera soll dem Anwender ein Trojanisches Pferd untergeschoben werden.

Seit Freitag, den 27.01., werden über Botnets Mails verbreitet, die vorgeblich vom Computer-Versandhändler Dell stammen. Darin enthalten ist eine fiktive Auftragsbestätigung sowie ein Link, unter dem sich die Empfänger den angeblichen Auftrag ansehen sollen.

Tatsächlich wird jedoch beim Anklicken des Links eine Webseite aufgerufen, die eine präparierte WMF-Datei ("xpf.wmf") in einem Iframe lädt. Diese nutzt die Windows-Sicherheitslücke MS06-001, um einen Schädling einzuschleusen.

Dieser Schädling (Dateiname: "file.exe" oder "U.exe") liegt auf derselben Website und ist wiederum nur ein Downloader für ein Installationsprogramm ("installer.exe") des eigentlichen Trojanischen Pferds ("msnscps.dll"). Dabei handelt es sich um ein Browser Helper Object (BHO), eine Art Plug-in für den Internet Explorer.

Der Installer manipuliert Sicherheitseinstellungen von Windows, so dass er das BHO registrieren kann. Das BHO soll Anmeldedaten beim Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden. Der Text der E-Mail lautet wie folgt:

Date sent: Fri, 27 Jan 2006 13:29:42 -0300

From: "Dell Online Store" <order_16049@dell.de>

Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.

Vielen Dank fur das Einkaufen bei uns.

Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.

Dieser Betrag wird von Ihrer Karte abgebucht werden. In Ihrem Profil konnen Sie alle Auftragsdetails checken

Klick mal rein um den Auftrag zu sehen

Vielen Dank

Dell Online Store.

Die Erkennung der WMF-Datei als WMF-Exploit durch Antivirusprogramme war bereits am Freitag gut. Die weiteren heruntergeladenen Dateien hingegen werden überwiegend erst mit späteren Updates oder noch gar nicht erkannt. Hier zeigt sich wieder, dass bei einigen Antivirusherstellern mittlerweile auch am Wochenende gearbeitet wird. (PC-Welt/mja)

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner