#1
Die letzen Monate gab es in regelmaessigen Abstand Spammails mit einem Exeanhang (rechnung.pdf.exe und aehnliche Namen), heute landete eine etwas andere Mail in unserem Postfach. Die Subjekt Zeile war "Standard":
"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen."
Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert. Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert.
Hier ein Auszug aus der Mail:
From - Fri Jan 27 18:40:09 2006 X-Account-Key: account6 X-UIDL: W\4"!iNT!!pd8"!6=G"! X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Return-Path: <mortar@linuxmail.org> X-Original-To: virus@rokop-security.de Delivered-To: v15202916@dd12402.kasserver.com Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17]) by dd12402.kasserver.com (Postfix) with SMTP id 2585728849 for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET) Date: Fri, 27 Jan 2006 18:34:33 +0100 Message-Id: <CFE6.9B1.order_41526@dell.de> From: "Dell Online Store" <order_41526@dell.de> To: virus@rokop-security.de Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen. X-Sequence: 566 Precedence: list Mime-Version: 1.0 Content-Type: text/html; charset=iso-8859-2 Content-Transfer-Encoding: 7bit X-UIDL: W\4"!iNT!!pd8"!6=G"!
<body bgcolor="#FFFFFF" text="#000000"> ++++++++++++++++++++++<br> Vielen Dank fur das Einkaufen bei uns. <p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.</p> <p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p> <p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p>
<p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p> <p>Vielen Dank<br> Dell Online Store.<br> ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++</p>
"Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen."
Allerdings befand sich dort kein Exeanhang, sondern ein Link zu einer, mit einem WMF Exploit präparierten, Webseite. Diese laedt und startet einen Downloader, der wiederum einen Dropper laedt und startet, die eine DLL als browserhelperobject(BHO) installiert.
Diese wird derzeit von keinem AV-Programm erkannt, aber es wird sich wahrscheinlich um eine Goldun Variante handeln, die Passworte und aehnliches ausspioniert.
Hier ein Auszug aus der Mail:
From - Fri Jan 27 18:40:09 2006
X-Account-Key: account6
X-UIDL: W\4"!iNT!!pd8"!6=G"!
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <mortar@linuxmail.org>
X-Original-To: virus@rokop-security.de
Delivered-To: v15202916@dd12402.kasserver.com
Received: from 12-222-123-17.client.insightBB.com (12-222-123-17.client.insightBB.com [12.222.123.17])
by dd12402.kasserver.com (Postfix) with SMTP id 2585728849
for <virus@rokop-security.de>; Fri, 27 Jan 2006 18:38:32 +0100 (CET)
Date: Fri, 27 Jan 2006 18:34:33 +0100
Message-Id: <CFE6.9B1.order_41526@dell.de>
From: "Dell Online Store" <order_41526@dell.de>
To: virus@rokop-security.de
Subject: Ihr Auftrag # 41526 im Wert von 697.00 Euro ist angenommen.
X-Sequence: 566
Precedence: list
Mime-Version: 1.0
Content-Type: text/html; charset=iso-8859-2
Content-Transfer-Encoding: 7bit
X-UIDL: W\4"!iNT!!pd8"!6=G"!
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
</head>
<body bgcolor="#FFFFFF" text="#000000">
++++++++++++++++++++++<br>
Vielen Dank fur das Einkaufen bei uns.
<p>Ihr Auftrag # 41526 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$
ist angenommen.</p>
<p>Dieser Betrag wird von Ihrer Karte abgebucht werden</p>
<p>In Ihrem Profil konnen Sie alle Auftragsdetails checken</p>
<p><a href="hxxp://xxarly.nxx/images/index.html">Klick mal rein um den Auftrag zu sehen</a></p>
<p>Vielen Dank<br>
Dell Online Store.<br>
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++</p>
</body>
</html>
__________
MfG Ralf
SEO-Spam Hunter