Security Advisory 02.02.2003 / 23:40 Uhr

Betreff: Backdoor über ActiveX auf edonkey.com

Sehr geehrte Damen und Herren

Durch das Aufrufen der Internetseite www.edonkey.com kommt es durch aktives AcitveX zum Dateidownload der Datei MP3_plugin.exe die sich in das Windows Temp Verzeichnis lädt und den bekannten Trojaner Trojan.downloader.small dort ausführt. Dieser Trojaner kann mehrere Dateien anschliessend nachladen. Auf der Internetdomain sind verschiedene solcher Downloaderdateien abgelegt.

Weiter sollte man auf die Dateien av.bat, avril.exe, avril_lavigne.exe, edonkey-gamer.exe, MP3_Plugin.exe, MP3r.exe, mp3zone.exe und msbb.exe achten. Die auch teilweise die Datei MP3r.exe wiederum enthalten und in das Temp Verzeichnis von Windows geladen werden.

Die Webdownloader laden dann die Seite www.lop.com die einen Dialer über ein Java Script installiert.

Anbei erhalten Sie einen Screenshot von der Ausführung eines der Dialerprogramme sowie die anderen Programme die ebenfalls Trojaner enthalten.

Mit freundlichen Grüßen

Bernd Michler, www.anti-trojan.net
Marko Rogge, www.brain-pro.de