Menü

Gefälschte Dell-Rechnungsmails locken auf Webseiten mit WMF-Exploits

vorlesen Drucken Kommentare lesen 190 Beiträge

Offenbar wird auch drei Wochen nach der Veröffentlichung der Patches zum Stopfen der Windows-WMF-Sicherheitslücke versucht, ungepatchte Systeme mit Würmern und Trojanern zu infizieren. So kursiert seit wenigen Stunden eine angebliche Mail des Dell Online Store im Netz, die vorgibt einen Link zum Auftragscheck einer Bestellung zu enthalten:

Vielen Dank fur das Einkaufen bei uns.

Ihr Auftrag # 14780 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.

Dieser Betrag wird von Ihrer Karte abgebucht werden

In Ihrem Profil konnen Sie alle Auftragsdetails checken

Klick mal rein um den Auftrag zu sehen

Vielen Dank
Dell Online Store.

Unbedarfte Anwender könnten ob der hohen Summe irritiert dem Link folgen. Der führt natürlich nicht auf eine Webseite von Dell, sondern auf einen Server, der ein präpariertes WMF-Bild (xpl.wmf) enthält. Besucht man diese Seite mit dem Internet Explorer und einem ungepatchten Windows, ist man anschließend infiziert. Auch Anwender anderer Browser sind gefährdet, wenn sie die Datei herunterladen und anschließend mit einer verwundbaren Anwendung betrachten wollen.

Aktuelle Virenscanner erkennen den Schädling als WMF-Exploit. Was er genau macht, müssen allerdings weitere Tests zeigen. Ersten Analysen zufolge werden die Mails über Bot-Netze verteilt, in welchem Ausmaß ist aber unklar.

Sofern noch nicht geschehen sollten Windows-Anwender die Patches installeren, um den Angriff ins Leere laufen zu lassen. Unter Windows XP sollten die Patches in der Regel bereits automatisch installiert worden sein. Windows-2000-Anwender müssen die Update-Seiten von Microsoft manuell aufrufen.

Siehe dazu auch die Meldung von heise Security: (dab)