Zahlreiche Virenmails sind derzeit in Umlauf, die als Rechnungen der Immobilienbörse ImmobilienScout24 getarnt sind. Die Betreffzeile ist unterschiedlich und enhält zumeist eine offenbar zufällige Rechnungsnummer. Die Absenderadresse wird offenbar auch stets neu generiert, endet aber immer auf @immobilienscout24.de.

Ein rund 10 KByte großer Anhang namens 150113000001.pdf, der eine bereits 2010 geschlossene Schwachstelle im Adobe Reader auszunutzen versucht, ist allen Varianten gemein. Der eingeschleuste Shellcode sorgt dann dafür, dass auf kompromittierten Webservern deponierter Schadcode nachgeladen wird.

Bei per eMail zugestellten Rechnungen, deren Zustandekommen man sich nicht erklären kann, ist generell große Vorsicht geboten. Außer der aktuellen ImmobilienScout24-Kampagne werden auch die Namen anderer Unternehmen missbraucht. Wenn man überprüfen will, ob eine PDF-Datei Schadcode enthält, kann man sie etwa in der Online-Sandbox Wepawet ausführen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE