Vorgebliche Kreditkartenabrechnung mit PDF-Exploit

Vorgebliche VISA-Mail
Bild 1 von 1

Vorgebliche VISA-Mail

 

Spam-artig verbreitete Mails, die vorgeblich von VISA stammen, sollen die Empfänger auf eine gefälschte Website locken. Dort erwartet sie statt einer Kartenabrechnung Malware im Doppelpack.

Nach dem Online-Shopping zu Weihnachten kommt die Abrechnung für die Kreditkarte, das erscheint zunächst logisch. Aber ach, in der Mail heißt es, die Karte sei missbraucht worden. Der Link in der Mail führt zu einer Website, die der von VISA ähnelt. Dort gibt es dann eine EXE-Datei zum Download und eine PDF-Datei wird einem direkt nach geworfen.

Die Mails werden mit einem Betreff wie "possible fraudulent transaction" und gefälschten Absenderangaben verschickt. Laut englischem Mail-Text habe sich heraus gestellt, dass die Kreditkarte an einem Geldautomaten ("ATM") in Weißrussland (Belarus) benutzt worden sei. Die Transaktion sei vorsichtshalber gestoppt worden. Der Empfänger möge doch den elektronischen Kreditkartenreport sorgfältig prüfen. Dazu ist ein personalisierter Link angegeben, dessen wahres Ziel vom angezeigten Link-Text abweicht.

Der Link führt auf eine Imitation der VISA-Website, auf der man sich eine vorgebliche Kreditkartenabrechnung in Gestalt einer etwa 130 KB großen EXE-Datei namens "cardstatement.exe" herunter laden soll. Zugleich wird dem Besucher noch eine PDF-Datei aufgedrängt. Beide dienen dazu dem Opfer Trojanische Pferde unter zu schieben. Die EXE-Datei enthält einen Schädling aus der Zbot-Familie, die PDF-Datei Exploit-Code für Sicherheitslücken in nicht ganz aktuellen Versionen des Adobe Reader.

Die Erkennung der Schädlinge durch Virenscanner ergibt bislang ein gemischtes Bild:


Quelle: AV-Test, Stand: 11.12.2009, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

Antivirus EXE-Datei PDF-Datei
AntiVir TR/Crypt.XPACK.Gen EXP/Pidief.FV
Authentium --- ---
Avast --- ---
AVG --- ---
Bitdefender --- Exploit.PDF-JS.Gen
CA-AV Win32/Zbot.ED ---
ClamAV --- ---
Dr.Web --- ---
Eset Nod32 --- ---
Fortinet --- ---
F-Prot --- ---
F-Secure Suspicious:W32/Malware!Gemini Exploit.PDF-JS.Gen
G-Data AVK 2008 Trojan-Spy.Win32.Zbot.gen Exploit.JS.Pdfka.aqy
G-Data AVK 2009 --- Exploit.PDF-JS.Gen
Ikarus Trojan-Spy.Win32.Zbot Exploit.JS.Pdfka
K7 Computing --- ---
Kaspersky Trojan-Spy.Win32.Zbot.gen Exploit.JS.Pdfka.aqy
McAfee --- ---
McAfee Artemis Artemis!06F22A3C5EBC (trojan) ---
McAfee GW Edition Heuristic.BehavesLike.Win32.Trojan.H Exploit.Pidief.FV
Microsoft --- Exploit:Win32/Pdfjsc.CM
Norman --- ---
Panda --- (Trj/Sinowal.DW)* ---
Panda (Online) Trj/CI.A ---
PC Tools Trojan-PSW.Banker Trojan.Pidief
QuickHeal --- ---
Rising AV Dropper.Win32.Undef.GEN [Suspicious] Hack.Exploit.PDF.e
Sophos Mal/Generic-A Troj/PDFEx-CD
Spybot S&D --- ---
Sunbelt Trojan-Spy.Win32.Zbot.gen (v) Exploit.PDF-JS.Gen (v)
Symantec Infostealer.Banker.C (Trojan.Zbot!gen3)* Trojan.Pidief.F
Trend Micro TSPY_ZBOT.SMJF ---
VBA32 --- ---
VirusBuster --- ---
Webroot Mal/Generic-A Troj/PDFEx-CD
Quelle: In Zusammenarbeit mit www.pcwelt.de
Kommentare
Top-Themen
Bestimmte Nachrichten, die Sie über WhatsApp versendet haben, würden Sie am liebsten wieder rückgängig machen? Mit ...mehr
Am heutigen 21. Juni und dem morgigen 22. Juni findet wieder der alljährliche Amazon Prime Day statt. Auf diesem Weg ...mehr
Der Power-Knopf am iPhone ist defekt, aber Sie würden gerne Ihr Smartphone ausschalten? Nutzen Sie dazu einfach iOS, ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.