23 Februar 2006

Gefälschte Telekom-Seite verbreitet Trojaner

Leider hatte ich gestern keine Zeit mehr noch etwas zu dem Artikel bei heise zu sagen, dies will ich nun aber nachholen:

Mittlerweile hat heise ja schon ein Update zu dem Artikel gebracht, allerdings hätte den Redakteuren bei heise beim Erstellen der ersten Meldung bereits auffallen können, dass die besagte Seite, die unter:
http://telekom-de4-8cgi.com/56982271633/cgi_pop/login.htm (bitte nicht aufrufen!!!)

zu finden ist, nicht nur für den Internet Explorer gefährlich ist.

Ganz nebenbei, der Inhalt der Seite die man dort sieht ist echt! Es handelt sich um ein Frameset, das die Originalseite der T-COM aufruft:
https://www.rechnung-online.telekom.de/dtroot/login/loginpage.htm

nur leider ruft die Seite noch ein weiteres Frame auf:
<frame src="ie0601.htm" name="topFrame" scrolling="NO" noresize >

Diese Datei ist dafür verantwortlich den Typ den Browsers, sowie einige weitere Daten über das System zu sammeln.
Je nach Browsertyp wird dann für den IE z.B. "ie0601e.wmf" aufgerufen.

Kommentar im Queltext:
// launching exploit which number is depends on Windows and IE versions

Allerdings ist auch folgendes im Quelltext zu finden:
else if (navigator.appName=="Netscape")

Dies hätte man nicht übersehen dürfen!
if (navigator.userAgent.indexOf('Firefox') != -1)
{
PageContainer.location="mfsa0601.htm";
}

Firefox und Mozilla sind also ebenso betroffen, wie der IE.

"Die Schwachstellen sind allerdings ab Firefox 1.0.5 und Mozilla 1.7.10 beseitigt."


Viele Grüße
Maik Irmscher

Keine Kommentare:

Kommentar veröffentlichen