Gefälschte Telekom-Seite verbreitet Trojaner [Update]

Angeblich von der Deutschen Telekom stammende Mails mit Informationen zur aktuellen Telefonrechnung enthalten einen Link auf eine Seite, die versucht Trojaner zu installieren.

In Pocket speichern vorlesen Druckansicht 221 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Seit kurzem kursieren angeblich von der Deutschen Telekom stammende Mails im Internet, die vorgeben, Informationen zur aktuellen Telefonrechnung zu enthalten. Die in unverdächtigem und fehlerfreiem Deutsch formulierte Nachricht mit dem Betreff "Rechnung Online Monat November 2004 (Buchungskonto: 6801432458)" weist am Ende einen Link auf, der zur Rechnung und der Einzelverbindungsübersicht führen soll. Ein Klick auf diese ziemlich offensichtlich nicht zur Telekom gehörenden Adresse öffnet dann eine Seite, die in einem Frame tatsächlich die Login-Seite der Telekom-Online-Rechnungsstelle lädt. Unsichtbar lädt sie allerdings auch einen zweiten Frame -- und der versucht auf verschiedenen Wegen, einen Trojaner auf dem System des Opfers zu installieren, indem er bekannte Schwachstellen des Internet Explorer ausnutzt. Nach bisherigem Kenntnisstand von heise Security versucht die Seite jedoch nicht, im Login-Frame eingegebene Daten zu "phishen".

Unter anderem bedient sich der versteckte Frame der IE-Fehler bei der Verarbeitung lokaler Hilfeseiten und HTML-Redirects (siehe Browsercheck-Demo) sowie einer Sicherheitslücke in der Java-VM von Microsoft, um in Systeme einzudringen. Bei dem Trojaner handelt es sich um einen so genannten Downloader, der Software nachlädt. Was diese auf infizierten System genau macht, ob sie Spyware installiert, Zugangsdaten erschnüffelt oder Hintertüren öffnet, müssen weitere Tests zeigen.

In Windows-Systeme, auf denen alle verfügbaren Patches installiert sind, sollte der Trojaner nach bisherigen Erkenntnissen nicht eindringen können. Einige Virenscanner erkennen zudem den Schädling schon beim Öffnen der Seite und schieben ihn in die Quarantäne. Die Telekom ist bereits über den Vorfall informiert. Einige der in den Mails enthaltenen Links funktionieren bereits nicht mehr, die Seiten wurden bereits vom Netz genommen.

Was alles passieren kann, wenn man mit einem ungepachten System auf die falsche Web-Seite gerät, zeigt auch der dritte Teil der Artikelserie Schädlingen auf der Spur auf heise Security. Tom Liston führt darin vor, wie insgesamt knapp drei Megabyte an fremder Software heimlich auf dem System seines Protagonisten "Otto Normalo" installiert wurden. (dab)