128722

Spam-Mails locken auf Malware-Seite

28.03.2008 | 15:21 Uhr |

In Spam-artig verbreiteten Mails wird über eine drohende Krise der Schweizer Banken berichtet. Ein Link soll zu einem Interview mit einem US-Banker führen, tatsächlich wird dort als Plug-in getarnte Malware angeboten.

Glaubt man einer derzeit verbreiteten Spam-Mail, hat die Krise der internationalen Finanzmärkte auch die Schweiz erreicht. Das mag zwar sein, dient hier jedoch nur als Köder zur Verbreitung von Malware. Die Mails kommen mit einem Betreff wie "Eine Bankenkrise der Schweizer Banken ist unvermeindlich". Ein Experte der Bank of America soll dem Mail-Text nach in einem Interview den Zusammenbruch Schweizer Banken prognostiziert haben. Das Interview könne auf der verknüpften Website angehört werden.

Wer auf den Link klickt, der nur eine IP-Adresse nebst Unterverzeichnis "/ch" darstellt, landet in einer Imitation eines Live-Journals, also eines Blogs. Dort wird dem Besucher ein vorgeblich erforderliches Plug-in zum Download aufgenötigt. Die Datei heißt "iPIX-install.exe" und ist je nach verwendetem Browser 79.686 oder 69.140 Bytes groß. Es handelt sich dabei um einen Malware-Downloader, der ein Rootkit aus der Wsnpoem-Familie nachladen und installieren soll. Dazu nimmt er Kontakt zu mehreren Servern in China auf.

Eine bis auf die Sprache praktisch identische Variante der Mails richtet sich an potenzielle Opfer in Lettland, die auf ein anderes Unterverzeichnis ("/lv") auf dem selben Server gelockt werden. Dort ist die Installationsaufforderung für das vermeintliche Plug-in (wie auch die Spam-Mails) in russischer Sprache verfasst. Die Malware ist identisch, es gibt allerdings nur die 69.140 Bytes große Variante. Diese wird von keinem Virenscanner erkannt, scheint jedoch auch fehlerhaft zu sein.

Die Masche der Malware-Spammer ist nicht neu. Sie kam bereits zweimal in diesem Jahr zum Einsatz, jeweils mit einem Bericht über einen angeblichen Atomunfall in der Schweiz . Die Erkennung des 79.686 großen Malware-Downloaders durch Antivirus-Software ist zurzeit immer noch recht dürftig.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XPACK.Gen

Avast!

---

AVG

Agent.RKY (Trojan horse)

A-Squared

---

Bitdefender

Dropped:Trojan.Spy.Wsnpoem.AR

ClamAV

---

Command AV

---

Dr Web

---

eTrust

---

Ewido

---

F-Prot

---

F-Secure

Trojan-Dropper.Win32.Small.bju

Fortinet

Oscor.M!tr

G-Data AVK

Trojan-Dropper.Win32.Small.bju

Ikarus

Packer.Pohernah.C

Kaspersky

Trojan-Dropper.Win32.Small.bju

McAfee

---

Microsoft

---

Nod32

Win32/TrojanProxy.Agent.NDS trojan

Norman

---

Panda

Suspicious file

QuickHeal

---

Rising AV

---

Sophos

Troj/Oscor-M

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Crypt.XPACK.Gen

Quelle: AV-Test ( http://www.av-test.de ), Stand: 28.03.2008, 14 Uhr

0 Kommentare zu diesem Artikel
128722