ratNetw0rk Statistik

Dienstag, 15. Juni 2010

Pushdo verwendet Weltcup zur Verbreitung von Malware

M86 Security konnte in den letzten paar Tagen zahlreiche Spam-Kampagnen aus dem Pushdo-Botnet beobachten. Die Kampagnen verfügen über eine HTML-Datei als Anhang und einer Betreffzeilen die die FIFA Fussball-Weltmeisterschaft erwähnt um unvorsichtige Empfänger zu täuschen.

Ein paar der Betreffzeilen:
FIFA World Cup South Africa… bad news
[Recipient Domain] account Information
[Random Email Address] has sent you a birthday ecard.
Reset your Twitter password



Die HTML-Dateianlage enthält folgendes JavaScript:



M86 Security hat verschiedene Varianten dieses Skript entdeckt,aber alles haben die selbe Funktion.



Wenn die Anlage in einem Browser mit aktiviertem JavaScript geöffnet wird, leitet die z.htm unbemerkt auf einen anderen Webserver um.



Diese Seite wartet drei Sekunden und dann leitet der Browser auf eine Canadian Pharmacy Website. Während des Wartens, wird ein versteckter IFrame geladen.M86 Security einige der Verschleierung entfernt, um das Skript in diesem IFrame lesbarer zu machen:



Dieses Skript überprüft jedes Browser-Plugins auf die Wörter "Adobe Acrobat" oder "Adobe PDF".Bei erfolgreichem Fund führt der IFRAME eine bösartige PDF-Datei aus. Desweiteren überprüft das Script ob Java (Sun Microsystems Java, JavaScript) aktiviert ist und versucht über eine Lücke das Opfer mit der game.exe zu Infizieren.

15.06.2010 10:15 Uhr