Mail-Wurm droht mit Gerichtsverfahren Eine neue Variante des Bagle-Wurms versucht es mit einer juristischen Masche.
Wenn Sie eine Mail erhalten, die Ihnen auf Englisch mit einem Anwalt droht, könnte es sich um eine Masche des neuesten Vertreters der Wurmfamilie "Bagle" handeln. Dieser Wurm sendet Mails, deren Betreff und Inhalt die Empfänger mit einer Drohung zum Öffnen des virulenten Anhangs verleiten soll.
Die Mails kommen mit einem Betreff wie "Pay your debts before we come to you", "Call to your lawer immidiately", "Lawsuit against you" oder "We wait your response." Der Text beginnt jeweils mit dem Satz "LAWSUIT AGAINST YOU (ATTACHMENT HAS MORE INFORMATION)". Der Anhang trägt Dateinamen wie "lawsuit.exe", "explanation.exe" oder "documents.exe".
Wird der Anhang geöffnet, legt er eine Kopie von sich im System-Verzeichnis von Windows an (das ist üblicherweise C:\Windows\System32), die den Dateinamen "win32lib.exe" trägt. Weitere Kopien werden an gleicher Stelle mit den Namen "win32lib.exeopen" und "win32lib.exeopenopen" angelegt und enthalten zusätzlichen Datenmüll.
Damit der Schädling bei jedem Start von Windows automatisch geladen wird, trägt er sich in die Registry ein:
Er durchsucht eine Reihe von Dateitypen nach Mail-Adressen und sammelt diese in der Datei "vcremoval.dll" im Windows-Verzeichnis. Der Bagle-Wurm versucht von diversen Web-Servern weitere Trojanische Pferde herunter zu laden. Außerdem verbreitet er sich auch über P2P-Netze wie zum Beispiel Kazaa, Bearshare oder Limewire, indem er sich mit verschiedenen, verheißungsvollen Dateinamen in die Download-Verzeichnisse kopiert.
Der Wurm enthält eine eigene Mail-Routine, mit der er Mails der oben beschriebenen Art an die gesammelten Mail-Adressen versendet. Die Verbreitung wird von Antivirus-Firmen als eher gering eingestuft.
- Doris -
Re: Viren-/Würmer-Meldung
08.03.06
Falsche Mails vom T-Online Shop Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen. Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll. Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann: Vielen Dank fur das Einkaufen bei uns. Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im Wert von Euro 729 ist angenommen. Dieser Betrag wird von Ihrer Karte abgebucht werden In Ihrem Profil konnen Sie alle Auftragsdetails checken Klick mal rein um den Auftrag zu sehen Vielen Dank T-Online Online Store. Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll. Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.
- Doris -
Re: Viren-/Würmer-Meldung
Von Frank Ziemann 20.03.2006 16:33 (www.pc-welt.de)
Neue Sicherheitslücke im Internet ExplorerDurch einen Pufferüberlauf in einer DLL stürzt der Browser ab. Browser-Abstürze durch überlaufende Puffer lassen sich oft zum Einschleusen und Ausführen von schädlichem Programme-Code ausnutzen. So mutmaßlich auch ein Fehler im Internet Explorer , dessen Entdeckung der polnische Sicherheitsforscher Michal Zalewski meldet.
Zalewski demonstriert mit einer Testseite, wie eine große Anzahl so genannter "Event Handler" den Internet Explorer 6 trotz installierter Sicherheits-Updates zum Absturz bringen kann. Event Handler sind Anweisungen im HTML-Code an den Browser, wie er bei bestimmten Ereignissen (Events) reagieren soll. So definiert zum Beispiel der Zusatz "onClick" zu einem Bild, welches Script bei Anklicken des Bildes ausgeführt werden soll. Mit dem Event Handler "onLoad" kann ein Script automatisch nach dem Laden einer Seite gestartet werden, etwa um ein Pop-up-Fenster zu öffnen.
Wird eine HTML-Seite mit sehr vielen, auch sinnlosen Anweisungen dieser Art im Internet Explorer geöffnet, kann es zu einem Pufferüberlauf in der Programmbibliothek "mshtml.dll" kommen und der Browser stürzt ab. Zalewski füllt seine Demo-Seite mit 10.000 Wiederholungen der Anweisung "onclick=bork" in einem frei erfundenen HTML-Tag namens "foo".
Gelingt es, die Position des eingeschleusten Programm-Codes im Speicher zu steuern, kann das Programm beim Absturz des Browsers ausgeführt werden. Zalewskis Demo-Seite enthält keinen solchen Code, sie führt lediglich zum Browser-Crash. Anschließend kann unter Umständen ein Neustart von Windows erforderlich sein, bevor der Internet Explorer wieder gestartet werden kann.
Michel Zalewski deckte bereits Fehler bei der Behandlung von Cookies in verschiedenen Browsern auf ( wir berichteten ) und berichtete über Abstürze des Internet Explorers beim Laden manipulierter Bilddateien .