Zahlreiche Virenmails sind derzeit in Umlauf, die als Rechnungen
der Immobilienbörse ImmobilienScout24
getarnt sind. Die Betreffzeile ist unterschiedlich und enhält
zumeist eine offenbar zufällige Rechnungsnummer. Die Absenderadresse
wird offenbar auch stets neu generiert, endet aber immer auf @immobilienscout24.de.
Ein rund 10 KByte großer Anhang namens 150113000001.pdf,
der eine bereits 2010 geschlossene Schwachstelle im Adobe Reader
auszunutzen versucht, ist allen Varianten gemein. Der eingeschleuste
Shellcode sorgt dann dafür, dass auf kompromittierten Webservern
deponierter Schadcode nachgeladen wird.
Bei per eMail zugestellten Rechnungen, deren Zustandekommen man
sich nicht erklären kann, ist generell große Vorsicht
geboten. Außer der aktuellen ImmobilienScout24-Kampagne werden
auch die Namen anderer Unternehmen missbraucht. Wenn man überprüfen
will, ob eine PDF-Datei Schadcode enthält, kann man sie etwa
in der Online-Sandbox Wepawet
ausführen.
(ez, hannover)
(siehe auch Heise
News-Ticker :)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|