Falsches Microsoft-Update mit PDF-Exploit

Gefälschte Microsoft-Mail
Bild 1 von 1

Gefälschte Microsoft-Mail

 

Massenhaft verbreitete Mails, die nur scheinbar von Microsoft stammen, sollen ein vorgebliches Sicherheits-Update für Outlook propagieren. Die Download-Seiten sind mit einem PDF-Exploit präpariert.

Die Masche mit dem vorgeblichen Update für Outlook läuft bereits seit ein paar Tagen. Inzwischen haben die Malware-Spammer mehrfach die EXE-Datei ausgetauscht, die auf den nachgeahmten Microsoft-Seiten zum Download angeboten wird. Sie haben diese Seiten außerdem mit Exploit-Code präpariert, der eine Sicherheitslücke in nicht ganz aktuellen Versionen des Adobe Reader ausnutzen soll.

Alex Eckelberry, Geschäftsführer von Sunbelt Software, berichtet im Blog des Sicherheitsunternehmens, die Honeypots (hier: Spam-Fallen) seiner Firma hätten eine große Zahl gefälschter Microsoft-Mails abgefangen. Diese sollen potenzielle Opfer mit der Aussicht auf ein wichtiges Update für Outlook und Outlook Express auf vorbereitete Web-Seiten locken.

Dort erwartet sie eine recht überzeugende Imitation einer Microsoft-Seite, die den Download einer Datei namens "officexp-KB910721-FullFile-ENU.exe" anbietet. Dabei handelt es sich jedoch um Malware aus der Zbot-Familie. Der Schädling wird inzwischen von vielen Antivirusprogrammen erkannt, es gibt jedoch noch Lücken.

Die Seiten enthalten aber auch noch einen Iframe, der von einem Server in der Türkei geladen wird. Darin steckt verschleierter Script-Code, der die installierte Version des Adobe Reader bestimmt und den passenden Exploit-Code lädt. Damit wird ebenfalls ein Schädling aus der Zbot-Familie eingeschleust, der jedoch bislang kaum erkannt wird. Die aktuellen Versionen von Adobe Reader (9.1.2 und 8.1.6) sind nicht anfällig.


Quelle: AV-Test, Stand: 01.07.2009, 14:00 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

Antivirus Malware-Name (EXE-Datei) Malware-Name (PDF-Datei)
AntiVir TR/Crypt.XPACK.Gen HTML/Malicious.PDF.Gen
Authentium W32/Heuristic-CO3!Eldorado ---
Avast --- JS:Pdfka-JS [Expl]
AVG Generic13.BQHH (Trojan horse) ---
Bitdefender Trojan.Spy.ZBot.VF ---
CA-AV Win32/Kollah.ANB ---
ClamAV --- ---
Dr Web Trojan.PWS.Panda.122 ---
Eset Nod32 Win32/Kryptik.VR trojan (variant) PDF/Exploit.Gen trojan
Fortinet W32/Zbot.VR!tr.spy ---
F-Prot --- ---
F-Secure 2009 Trojan-Spy.Win32.Zbot.xrt ---
F-Secure 2010 --- ---
G-Data AVK 2008 Trojan-Spy.Win32.Zbot.xrt JS:Pdfka-JS [Expl]
G-Data AVK 2009 Trojan.Spy.ZBot.VF JS:Pdfka-JS [Expl]
Ikarus Trojan-Spy.Zbot ---
ISS VPS --- ---
K7 Computing --- ---
Kaspersky Trojan-Spy.Win32.Zbot.xrt ---
McAfee --- (Generic PWS.y!dk)* ---
McAfee Artemis Artemis!7D09214052F0 (trojan) ---
McAfee GW Edition Trojan.Crypt.XPACK.Gen Script.Malicious.PDF.Gen
Microsoft --- Exploit:Win32/Pidief.K
Norman --- ---
Panda --- ---
Panda (Online) --- ---
QuickHeal --- ---
Rising AV Backdoor.Win32.Ntos.eg ---
Sophos Mal/Zbot-P Troj/PDFEx-BG
Spybot S&D --- ---
Sunbelt VIPRE.Suspicious Exploit.PDF-JS.Gen (v)
Symantec --- ---
Trend Micro TROJ_ZBOT.AYG ---
VBA32 --- ---
VirusBuster --- ---
Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Nach dem Streit über die neuen Nutzungsregeln geht WhatsApp in die Offensive. Der Chatdienst legt eine Werbekampagne ...mehr
Die Technik soll uns in Zeiten von Corona einmal mehr das Leben erleichtern. Was man nun über den digitalen ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.