Habe eben Post vom BSI bekommen. Scheint interessant für alle Kreditkartenbenutzer hier zu sein!
-----BEGIN PGP SIGNED MESSAGE-----
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/014 vom 18.11.2003
Name: W32.Mimail.J@mm
Alias: WORM_MIMAIL.J [Trend]
W32/Mimail.j@MM [McAfee]
Art: Wurm
Groesse des Anhangs: 13.856 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Diebstahl von
Kreditkarten-Informationen
bekannt seit: 17. November 2003
Beschreibung:
W32.Mimail.J@mm ist ein Massenmailer-Wurm, der
Kreditkarten-Informationen stiehlt. Bei Ausfuehrung der angehaengten
Datei wird ein Formular angezeigt, das die Kreditkarten-Daten abfragt.
Die Daten werden gespeichert (C:\ppinfo.sys) und an vordefinierte
E-Mail-Adressen gesendet.
Eine infizierte E-Mail hat folgende Charakteristik:
Von:
PayPal.com [account_verification51059@juno.com]
Text der E-Mail:
Dear PayPal member,
We regret to inform you that your account is about to be expired
in next five business days. To avoid suspension of your account
you have to reactivate it by providing us with your personal
information.
To update your personal profile and continue using PayPal services
you have to run the attached application to this email. Just run it
and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended
in next five business days and you will not be able to use PayPal
anymore.
Thank you for using PayPal
Der Dateiname der angehaengten Datei ist InfoUpdate.exe oder
http://www.paypal.com.pif und hat eine Groesse von 13.856 Bytes. Wird diese
Datei ausgefuehrt, erzeugt Mimail.J einen Eintrag in der Registry, mit
dem der Wurm beim Rechnerstart aktiviert wird.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SvcHost32"="%Windir%\svchost32.exe"
Anschliessend erscheint ein Formular, das die Kreditkarten-Daten
abfragt.
Weitere Informationen mit Grafiken finden Sie unter
http://www.bsi.bund.de/av/vb/mimailj.htm
Fragen richten Sie bitte an <mailto:antivir@bsi.de>.
Virenmeldungen koennen Sie an <mailto:virmeld@bsi.de> senden.
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
- -----------------------------------------------------------------
========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
========================================================================