Wer in diesen Tagen eine Mail erhält, die von seinem Mail-Provider oder von der eigenen Domain zu kommen scheint, sollte keinen der darin enthaltenen Links anklicken. Wie schon Mitte Oktober 2009 werden derzeit massenhaft Mails verbreitet, die vorgebliche Mitteilungen über Konfigurationsänderungen an der Mailbox enthalten. Es lauert jedoch wieder nur Malware.
Die Mails tragen einen Betreff wie "A new settings file for the <Mail-Adresse> mailbox", "For the owner of the <Mail-Adresse> mailbox" oder auch "The settings for the <Mail-Adresse> were changed", wobei stets die angeschriebene Mail-Adresse eingesetzt wird. Als gefälschte Absenderangabe werden Adressen derselben Domain verwendet, mit Namen wie "alert", "automailer", "no-reply" und dergleichen mehr.
Im englischen Text heißt es, die Konfiguration der Mailbox sei auf Grund eines Sicherheits-Updates geändert worden. Um die neuen Einstellungen zu übernehmen, möge man doch auf den Link klicken. Dieser führt zu aktuell noch aktiven Websites mit polnischen Domains (.pl), die das Aussehen von Outlook WebAccess nachahmen. Die Links sind hochgradig personalisiert. Aus den übergebenen URL-Parametern bastelt die Website eine scheinbar persönliche Web-Seite für das Opfer.
PDF-Exploit und Trojanisches Pferd
Bereits beim Aufruf der Website wird ein speziell präpariertes PDF-Dokument automatisch geladen, das eine Sicherheitslücke im Adobe Reader ausnutzen soll. Außerdem soll der Besucher der Website einen Download-Link auf der Seite anklicken, um vorgeblich eine Konfigurationsdatei zu laden. Tatsächlich handelt es sich um eine EXE-Datei (settings-file.exe), die ein Trojanisches Pferd aus der Zbot-Familie enthält.
Die Erkennung des Schädlings durch Antivirusprogramme ist zurzeit noch recht lückenhaft. Bei der PDF-Datei sieht es ein wenig besser aus. (PC Welt/mje)
Antivirus |
Malware-Name (EXE) |
Malware-Name (PDF) |
AntiVir |
TR/Banker.Bancos.ldp |
EXP/Pidief.FV |
Authentium |
--- |
PDF/Pidief.BJ |
Avast |
--- |
JS:Pdfka-UO [Expl] |
AVG |
Win32/Cryptor |
--- |
Bitdefender |
--- |
--- |
CA-AV |
--- |
PDF/Pidief.NP |
ClamAV |
--- |
--- |
Dr.Web |
--- |
--- |
Eset Nod32 |
Win32/Kryptik.BOV trojan (variant) |
JS/Exploit.Pdfka.NOZ trojan |
Fortinet |
--- |
--- |
F-Prot |
--- |
--- |
F-Secure |
--- |
--- |
G-Data AVK 2008 |
Trojan-Banker.Win32.Bancos.ldp |
Exploit.JS.Pdfka.aqy |
G-Data AVK 2009 |
--- |
JS:Pdfka-UO [Expl] |
Ikarus |
Trojan-Spy.Win32.Zbot |
Exploit.JS.Pdfka |
K7 Computing |
--- |
--- |
Kaspersky |
Trojan-Banker.Win32.Bancos.ldp |
Exploit.JS.Pdfka.aqy |
McAfee |
--- (Generic.dx!ksg)* |
Exploit-PDF.ac (trojan) |
McAfee Artemis |
Artemis!3025B97428A1 (trojan) |
Exploit-PDF.ac (trojan) |
McAfee GW Edition |
Heuristic.BehavesLike.Win32.Trojan.H |
Exploit.Pidief.FV |
Microsoft |
--- |
Exploit:Win32/Pdfjsc.CM |
Norman |
--- |
--- |
Panda |
--- |
--- |
Panda (Online) |
suspicious |
--- |
PC Tools |
Trojan.Zbot |
Trojan.Pidief |
QuickHeal |
--- |
--- |
Rising AV |
Trojan.Win32.Generic.51F67C2B |
Hack.Exploit.PDF.e |
Sophos |
Mal/Generic-A |
Troj/PDFEx-CD |
Spybot S&D |
--- |
--- |
Sunbelt |
Trojan-Spy.Win32.Zbot.gen (v) |
Exploit.PDF-JS.Gen (v) |
Symantec |
Trojan.Zbot!gen3 |
Trojan.Pidief.F |
Trend Micro |
--- |
--- |
VBA32 |
--- |
--- |
VirusBuster |
--- |
--- |
Webroot |
Mal/Generic-A |
Troj/PDFEx-CD |
Quelle: AV-Test, Stand: 08.01.2010, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten