Mails verheißen eine elektronische Postkarte, sollen jedoch einen Key-Logger installieren.
Möglicherweise im Zusammenhang mit dem bevor stehenden Valentinstag werden seit gestern Mails verbreitet, die vorgeblich eine Benachrichtigung über eine elekronische Grußkarte enthalten. Tatsächlich jedoch soll eine Javascript-Konstruktion letztlich ein Trojanisches Pferd aus dem Internet laden und installieren.
Die Mails kommen mit dem Betreff "You have received a postcard" und der Absenderangabe "post@postcard.com". Sie enthalten weder einen Text noch ein Bild. Der HTML-Teil der Mails enthält jedoch einen Link, der beim Anklicken zu einer unverdächtigen Website wie zum Beispiel Yahoo oder zu einer Reiseagentur führen würde.
Der eigentliche Trick besteht in einer Javascript-Konstruktion, die als Hintergrundbild für diesen Link definiert ist. Dieses Script dient zunächst nur zur Verschleierung der Download-Adresse, von wo über eine PHP-Seite eine HTA- und eine EXE-Datei geladen werden.
Die HTA-Datei wird vom Internet Explorer, dessen Komponenten manche Mail-Programme zur Anzeige von HTML-Mails verwenden, interpretiert. Sie enthält mehrere Scripte, wodurch die EXE-Datei als Plug-in für den Internet Explorer installiert werden soll. Dazu nutzt die HTA-Datei eine altbekannte Sicherheitslücke im Internet Explorer (Exploit.ADODB).
Wenn Sie ein Mail-Programm wie zum Beispiel Mozilla Thunderbird oder Pegasus Mail einsetzen, werden Sie lediglich eine leere Mail zu sehen bekommen und nichts wird passieren. Auch mit einem aktuellen Internet Explorer 6 und dem zugehörigen Outlook Express oder einer neueren Outlook-Version sollte die Absicht der Mail-Versender buchstäblich ins Leere laufen. Gefährdet sind vor allem Benutzer veralteter Versionen des Internet Explorers oder von dessen Mail-Programm Outlook Express - selbst wenn Sie sonst mit einem anderen Browser im Web unterwegs sind.
Quelle :
www.pcwelt.de
