zurück zum Artikel

Eine unbedacht geöffnete HTML-E-Mail lässt Browser unverhofft Werbung für eine Medikamentenquelle im Internet anzeigen.

Seit einigen Tagen läuft anscheinend eine neue Pharming-Welle [1]. Diesmal versuchen die Hintermänner alle Browser-Aufrufe von .com-Adressen auf ihre Web-Site umzuleiten, auf der sie verschreibungspflichtige Medikamente verkaufen. Auslöser der Zwangsumleitung kann schon eine HTML-E-Mail mit einem Link zu einer externen Grafikdatei sein, die auf einem Server der Hintermänner liegt. Die Frage nach der IP-Adresse für die Grafik beantwortet der DNS-Server korrekt, versucht aber, dem anfragenden DNS-Server über zusätzliche Antwortfelder in seinem Reply einen neuen Root-Eintrag für .com unterzujubeln. Glückt das, installiert er sich damit als Namensauflöser für alle auf .com endenden Adressen. Auch Banner-Werbung und selbst schon eine E-Mail an einen nicht-existenten Nutzer der eigenen Domain können die Umleitung anstoßen.

Anfällig für den Poisoning-Angriff ist laut dem Internet Storm Center [2] unter anderem der in den Server-Ausgaben von Windows NT4 und 2000 integrierte DNS-Server in Standardeinstellung, nicht aber jener in neueren Windows-Versionen. Microsofts Knowledgebase beschreibt [3], wie man NT4 und 2000 per Registry-Eintrag gegen den Angriff immunisiert. Vor einigen Tagen gab Symantec ein Update für seine Firewall-Produkte [4] heraus, die ebenfalls für Pharming-Attacken anfällig waren. (ea [5])

URL dieses Artikels:
https://www.heise.de/-147922

Links in diesem Artikel:
[1] https://www.heise.de/news/Phishing-mit-Pharming-Update-141293.html
[2] http://isc.sans.org/
[3] http://support.microsoft.com/default.aspx?scid=kb;en-us;241352
[4] https://www.heise.de/news/Symantec-korrigiert-DNS-Probleme-in-Firewalls-145811.html
[5] mailto:ea@ct.de

Copyright © 2005 Heise Medien