Duke
15.03.07, 21:48
Vorgebliche Rechnungen mit gefährlichem Link !!
Die Versender vorgeblicher Rechnungen sind wieder aktiv. Einmal mehr vermeiden sie den Versand von Datei-anhängen und schicken stattdessen lediglich einen Link auf eine Webseite mit Exploit-Code.
In heute versandten falschen Rechnungen einer "TMS Logistik GmbH" ist ein Link auf eine Webseite in Südkorea enthalten, die mit dem Web-Attacker-Toolkit präpariert ist. Die Mails kommen mit einem Betreff wie "KD 56132 Webshop Bestellung 27.02.2007" (die Nummer variiert).
Im Text heißt es: "Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt." Danach folgt der nicht verschleierte Link nach Korea (.co.kr).
Wird der Link angeklickt, öffnet der Browser eine präparierte Seite, die einen winzigen Iframe von einer anderen Website nachlädt. Dieser enthält eine PHP-Anweisung zum Download eine EXE-Datei. Durch Ausnutzen von bekannten Sicherheitslücken im Browser, vor allem im Internet Explorer, wird die EXE-Datei eingeschleust und ausgeführt.
Es handelt sich dabei um ein Trojanisches Pferd aus der "Goldun"-Familie. Diese Schädlinge sind vor allem auf das Ausspionieren von Passwörtern und Zugangsdaten spezialisiert. Die hier verwendete neue Variante wird bislang nur von wenigen Virenscannern erkannt. Allerdings filtern einige Provider bereits Mails aus, die einen Link zu der koreanischen Webseite enthalten.
Quelle (http://www.burning-out.de/start3.shtml?/news/news.shtml?/news/news.shtml?-Vorgebliche-Rechnungen-mit-20070315164006)
Die Versender vorgeblicher Rechnungen sind wieder aktiv. Einmal mehr vermeiden sie den Versand von Datei-anhängen und schicken stattdessen lediglich einen Link auf eine Webseite mit Exploit-Code.
In heute versandten falschen Rechnungen einer "TMS Logistik GmbH" ist ein Link auf eine Webseite in Südkorea enthalten, die mit dem Web-Attacker-Toolkit präpariert ist. Die Mails kommen mit einem Betreff wie "KD 56132 Webshop Bestellung 27.02.2007" (die Nummer variiert).
Im Text heißt es: "Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt." Danach folgt der nicht verschleierte Link nach Korea (.co.kr).
Wird der Link angeklickt, öffnet der Browser eine präparierte Seite, die einen winzigen Iframe von einer anderen Website nachlädt. Dieser enthält eine PHP-Anweisung zum Download eine EXE-Datei. Durch Ausnutzen von bekannten Sicherheitslücken im Browser, vor allem im Internet Explorer, wird die EXE-Datei eingeschleust und ausgeführt.
Es handelt sich dabei um ein Trojanisches Pferd aus der "Goldun"-Familie. Diese Schädlinge sind vor allem auf das Ausspionieren von Passwörtern und Zugangsdaten spezialisiert. Die hier verwendete neue Variante wird bislang nur von wenigen Virenscannern erkannt. Allerdings filtern einige Provider bereits Mails aus, die einen Link zu der koreanischen Webseite enthalten.
Quelle (http://www.burning-out.de/start3.shtml?/news/news.shtml?/news/news.shtml?-Vorgebliche-Rechnungen-mit-20070315164006)