E-Mail lockt mit gefälschter Bestellung

Die Websense Security Labs weisen in einer Eilmeldung auf einen neuen Internet-Betrugsversuch hin. Dabei geht es um Websites, die "gekapert" wurden, um von dort Trojaner zu installieren.

Diese Seite jetzt zu Ihren Favoriten hinzufügen...

Detail

Details:

Datum:

16.03.2007 14:08:20 / newsbyteNews

In einer E-Mail werden Benutzer in Deutsch aufgefordert, eine bestimmte Webseite aufzusuchen, und eine angebliche Bestellung zu bestätigen. Die Websites werden in Korea und Hongkong gehostet. Sie nutzen eine bekannte Lücke in Microsoft AdoDB / XML HTTP (MS06-014) aus. Hat jemand die Lücke nicht mit den nötigen Sicherheitsupdates geschlossen und folgt der Aufforderung der E-Mail, wird beim Besuch der angegebenen Website automatisch ein Trojaner auf den Rechner geladen.

In seinen Security Labs beobachtet Websense, ein internationaler Experte für Internet-Sicherheit, pro Tag 24 Millionen Websites und analysiert, wie sich neue Bedrohungen aus dem Internet verhalten und auswirken.

Die gesamte E-Mail-Nachricht der Websense Security Labs im Wortlaut:

Websense Security Labs (TM) has received reports of new, malicious Web sites which are designed to install Trojan horses. The Web sites are hosted in Korea and Hong Kong. The sites attempt to exploit the Microsoft AdoDB / XML HTTP (MS06-014) vulnerability to download and install a Trojan downloader without end-user interaction.

Users receive an email, written in German, requesting that they visit a Web site to verify their order number. Upon visiting the site, the malicious code is automatically downloaded and run, assuming the user is not patched for the Microsoft vulnerability.

The original site, which is hosted in Korea, appears to have been compromised. An IFRAME pointing to the exploit code site is contained at the bottom of the original site.

The site contains encoded JavaScript which, when decoded, runs the exploit code and downloads an .exe file, update.exe, from a server in Hong Kong