Gefälschte Telekom-Seite verbreitet Trojaner [Update]
Eine gefälschte Telekom-Mail gibt vor, Informationen über die Telefonrechnung für den Monat Februar zu enthalten. Der enthaltenen Link führt auf eine Seite, die versucht, den PC mit einem Schädling zu infizieren.
Seit kurzem kursiert eine gefälschte Telekom-Mail im Internet, die angeblich Informationen über die Telefonrechnung für den Monat Februar enthält. Die darin genannte Summe variiert. Anders als die meisten bisherigen gefälschten Telekom-Mails birgt die neue Variante keinen Anhang, in dem ein Schädling stecken könnte. Vielmehr enthält sie nur einen Link auf eine angebliche Webseite der Telekom, wo der Kunde nach dem Login nähere Einzelheiten zur aktuellen Rechnung erfahren soll.
Was auf den ersten Blick nur wie eine gut gemachte Phishing-Seite aussieht, entpuppt sich bei näherer Betrachtung als Versuch, den PC des Besuchers der Seite mit einem Schädling zu infizieren. Dazu analysiert die Webseite die Browserversion, Betriebssystemversion und einige andere Versionsstände, um anschließend einen von fünf Exploits zu starten. Nach ersten Untersuchungen gehört dazu der Exploit für die WMF-Lücke, die Java Virtual Machine und diverse anderen Sicherheitslücken. Bei allen scheint es sich aber um ältere Lücken zu handeln, für die längst Updates verfügbar sind. Zudem funktionieren die Exploits nur beim Besuch der Seite mit dem Internet Explorer. Empfänger der Mail sollten aber auf jeden Fall davon Abstand nehmen, die Seite aus Neugier zu besuchen. Unter Umständen können weitere Exploits für bislang unbekannte und ungepatchte Lücken hinzugefügt werden.
Update
Weitere Untersuchungen von heise Security haben ergeben, dass auch Anwender von Firefox und Mozilla gefährdet sind. So versucht die Seite über eine Sicherheitslücke Code einzuschleusen und auszuführen. Die Schwachstellen sind allerdings ab Firefox 1.0.5 und Mozilla 1.7.10 beseitigt.
(dab)
