In einer nächtlichen Spam-Aktion ist am vergangenen Freitag eine neue Welle von Mails verbreitet worden, in denen neben einer WMF-Datei mit Exploit-Code ein Link zu einer mit Exploits nur so gespickten Website steckt.
Eine bereits länger laufende Malware-Spam-Kampagne hat in der Nacht die nächste Welle gefährlicher Mails in die Postfächer der Anwender gespült. Die Versender buhlen mit einem freizügigen Foto von Paris Hilton um die Mausklicks der potenziellen Opfer. Der Betreff laut zum Beispiel "Hot pictures of paris hilton nude", als vorgebliche Absenderadresse dient die Adresse des Empfängers.
Der sichtbare Inhalt besteht aus besagtem Foto sowie einer WMF-Datei, die beide aus dem Internet nachgeladen werden. Beide fungieren zudem als anklickbarer Link zu ebendieser Website. Die WMF-Datei nutzt eine Sicherheitslücke in der Grafikschnittstelle von Windows, die Microsoft mit dem Security Bulletin MS06-001 gestopft hat. Sie wird praktisch von allen Virenscannern als WMF-Exploit erkannt.
Die verlinkte Website erwartet den Besucher mit einem Cocktail von Exploits, der sogar für aktuelle Versionen von Firefox etwas Passendes bereit hält. Firefox (2.0.0.3 wie 1.5.0.11) stürzt ab und der dabei eingeschleuste Code lädt mit Hilfe des Internet Explorers ein ganzes Bündel von Malware herunter.
Ein Downloader landet im Hauptverzeichnis (u.exe). Diverse EXE-Dateien, die zunächst im TEMP-Verzeichnis abgelegt werden, dienen dazu den Rechner dem Botnet der Malware-Spammer hinzu zu fügen. Außerdem wird eine DLL im System32-Verzeichnis von Windows abgelegt und als BHO (Browser Helper Object) im Internet Explorer registriert. Damit können online eingegebene Zugangsdaten ausspioniert werden.
Quelle:
http://www.pcwelt.de/news/sicherheit/78169/