Es häufen sich erneut E-Mails und Instant-Messenger-Nachrichten, die Links auf bösartige Webseiten enthalten. Diese versuchen, über Lücken im Browser Trojaner einzuschleusen. Die E-Mails tragen Betreffzeilen wie "Iraq Bombing - 140 mariines killed" oder "14 US Marines KKilled in Bombing" -- angelehnt an die kürzlich erschienen realen Nachrichten, allerdings mit Übertreibungen und auffälligen Rechtschreibfehlern. Dies ist wohl eine Social-Engineering-Variante, um den Mailempfänger neugierig zu machen und zum Folgen der Links zu animieren.
Über Microsofts Windows Messenger, einem Instant-Messenging-Client ähnlich ICQ, werden ebenfalls Links in Nachrichten an unbedarfte Nutzer verschickt. Verantwortlich für die Nachrichten ist laut Kaspersky die auf der Zielseite vbulettin.com lauernde Hintertür Landis -- diese verschickt die Links auf Anweisung des Botnetz-Besitzers.
Die in den E-Mails verlinkten Webseiten liegen derzeit auf diversen Subdomains von vbnnews.com. Diese enthalten verschlüsselten Code, der analog zu den kürzlich gemeldeten Telekom-Trojaner-Mails versucht, über Internet-Explorer-Lücken Programme nachzuladen und zu installieren. Konkret handelt es sich um eine Variante der Backdoor Robobot.
Die ausgenutzte Lücke ist wieder einmal MS05-001 -- die HTML-Hilfe ist anfällig für Einschleusen und Ausführen von Code --, wogegen Microsoft im Januar einen Patch veröffentlicht hat. Aufgrund der Häufung von Mails und IM-Nachrichten mit Verweisen auf bösartige Webseiten in jüngster Zeit ist Vorsicht vor dem Nutzen der Links in verdächtigen Botschaften angebracht.
Quelle und Links :
http://www.heise.de/newsticker/meldung/62506
