Gefälschtes Windows-Update kommt mit PDF-Angriff

Die Masche mit dem vorgeblichen Update für Outlook läuft bereits seit ein paar Tagen. Inzwischen haben die Malware-Spammer mehrfach die EXE-Datei ausgetauscht, die auf den nachgeahmten Microsoft-Seiten zum Download angeboten wird. Sie haben diese Seiten außerdem mit Exploit-Code präpariert, der eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader ausnutzen soll.

Alex Eckelberry, Geschäftsführer von Sunbelt Software, berichtet im Blog des Sicherheitsunternehmens, die Honeypots seiner Firma hätten eine große Zahl gefälschter Microsoft-Mails abgefangen. Diese sollen potenzielle Opfer mit der Aussicht auf ein wichtiges Update für Outlook und Outlook Express auf vorbereitete Web-Seiten locken.

Dort erwartet sie eine recht überzeugende Imitation einer Microsoft-Seite, die den Download einer Datei namens "officexp-KB910721-FullFile-ENU.exe" anbietet. Dabei handelt es sich jedoch um Malware aus der Zbot-Familie. Der Schädling wird inzwischen von vielen Antivirusprogrammen erkannt, es gibt jedoch noch Lücken.

Die Seiten enthalten aber auch noch einen Iframe, der von einem Server in der Türkei geladen wird. Darin steckt verschleierter Script-Code, der die installierte Version des Adobe Reader bestimmt und den passenden Exploit-Code lädt. Damit wird ebenfalls ein Schädling aus der Zbot-Familie eingeschleust, der jedoch bislang kaum erkannt wird. Die aktuellen Versionen von Adobe Reader (9.1.2 und 8.1.6) sind nicht anfällig. (PC-Welt/mja)