Gefälschte Dell-Rechnung enthält WMF-Exploit

Eine eMail mit einer gefälschten Auftragsbestätigung des PC-Herstellers Dell befindet sich derzeit in Umlauf und nutzt für seine Attacke die bereits bekannte WMF-Sicherheitslücke (siehe unsere Newsletter vom 29.12.2005 und 02.01.2006) In der Auftragsbestätigung wird eine angeblich gekaufte Digitalkamera fakturiert.

Seit dem 27.01.2006 werden über sogenannte Botnets massenhaft eMails versendet, die angeblich von DELL stammen sollen. In der eMail ist als Anhang eine Auftragsbestätigung sowie ein Link, über den der Empfänger einen Auftragsstatus kontrollieren und bestätigen soll. Mit dem Anklicken des Links wird jedoch eine andere Webseite aufgerufen, die in einem IFRAME eine manipulierte WMF-Datei, namens "xpf.wmf" downloaded und aktiviert. Diese Datei nutzt die bekannte Lücke im Windows-Betreibssystem, die mit dem Security-Patch MS06-001 geschlossen werden kann, um das PC-System zu infizieren.

Der Trojaner in dem Namen "file.exe" oder "U.exe" ist auf aufgerufenen Website und ist der Downloader für das eigentliche Installationsprogramm des Trojaners, namens "msnscps.dll". Es handelt sich bei diesem Trojaner Browser Helper Object, eine Art Plugin für den Microsoft Internet Explorer.

Der Installer manipuliert Sicherheitseinstellungen von Microsoft Windows, damit das Browser Helper Object in die Registry eingetragen werden kann. Das Browser Helper Object soll Anmeldedaten beim Online-Banking ausspionieren. Die Dateien sind inzwischen von der Website entfernt worden.

Die eMail lautet wie folgt:

Date sent: Fri, 27 Jan 2006 13:29:42 -0300
From: "Dell Online Store" <order_16049@dell.de>
Subject: Ihr Auftrag # 16049 im Wert von 697.00 Euro ist angenommen.
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 16049 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden. In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank
Dell Online Store.

Auch wen diese Sicherheitslücke schon seit Wochen bekannt ist, scheint es immer noch PC-Systeme zu geben, die den Security Patch MS06-001 noch nicht installiert haben. Microsoft rät jedem Anwender dies dringend nachzuholen.
Quelle: TecChannel-News vom 30.01.2006

Damit Sie in Zukunft automatisch vor diesen Gefahren geschützt sind und einen kompetenten Ansprechpartner an Ihrer Seite haben, haben wir unseren SECURITY-CHECK mit Servicevertrag entwickelt.

Sie haben Fragen!!?? >>> Nehmen Sie mit uns Kontakt auf! <<<

Zurück zur Übersicht Newsletterarchiv

 
Home
Included EDV - Service
 
Copyright © 2009
INCLUDED EDV - Service

Zurück zum Newsletterarchiv