Trojaner «small.axr»: «Osama bin Laden verhaftet»

[Telekomunikacja]

V i r e n w a r n u n g
Neuer Trojaner "small.axr" täuscht Fang von Osama Bin Laden vor

Seit gestern Abend verbreitet sich laut BlackSpider Technologies ein Trojaner mit der Bezeichnung "small" in über 1 Millionen Emails weltweit. Der Trojaner behauptet die Verhaftung Osama Bin Ladens durch die USA und fordert dazu auf, den Fernseher einzuschalten. Da CNN noch kein Bildmaterial vorläge, habe der Absender Fotos des Militärsenders PPV als Diashow im Anhang der Email gesendet.

Das Attachment beinhaltet jedoch eine ausführbare Datei mit dem Trojaner, der weitere Malware aus dem Internet nachlädt. Der Dateianhang ist mit nur 4 KB sehr klein, daher die Bezeichnung "small". [...]

Quelle: pressebox.de, 03.06.2005

 

[Captain Picard]

http://www.heise.de/newsticker/meldung/60231

Ein neuer Wurm tarnt sich unter anderem als englische Nachricht über die Verhaftung des international gesuchten al-Qaida-Führers Osama bin Laden oder die Tötung des ehemaligen irakischen Diktators Saddam Hussein bei einem Fluchtversuch
...
Die Verbreitung des Schädlings ist zur Zeit noch nicht besonders groß. Laut F-Secure ist aber bereits der Betreiber eines Weblogs auf die Mails hereingefallen und meldete die Verhaftung bin Ladens.

cp

 

[stieglitz]

Bei TrendMicro heisst er BOBAX

YELLOW ALERT - WORM_BOBAX.P - 03.06.2005 (Yellow Alert):
This memory-resident worm, which usually arrives on a system as downloaded file of TROJ_SMALL.AHE, spreads by sending a copy of itself as an attachment to an email message that it sends using its own Simple Mail Transfer Protocol (SMTP) engine.
The message it sends out contains the following details:
Subject: {blank}
Message body: (any of the following)
• Attached some pics that i found
• Check this out
• Hello,
• I was going through my album, and look what I found..
• Long time! Check this out!
• Osama Bin Laden Captured.
• Remember this?
• Saddam Hussein - Attempted Escape, Shot dead • Secret!
• Testing
(followed by any of the following strings) • +++ Attachment: No Virus found • +++ F-Secure AntiVirus - You are protected • +++ Norman AntiVirus - You are protected • +++ Norton AntiVirus - You are protected • +++ Panda AntiVirus - You are protected • +++ www.f-secure.com • +++ www.norman.com • +++ www.pandasoftware.com • +++ www.symantec.com
Attachment: (any of the following names followed by a .ZIP extension) • bush.1 • funny.1 • joke.1 • pics.1 • secret.2 It also propagates by taking advantage of the Windows LSASS vulnerability. For more information about this vulnerability, please refer to the following Microsoft page:
Microsoft Security Bulletin MS04-011
This worm is also capable of modifying the system's HOSTS file in order to prevent users from accessing certain Web sites.
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BOBAX.P

Auch Heisse kennt ihn schon
http://www.heise.de/newsticker/meldung/60231