133324

Eine Quelle Trojanischer Pferde

07.03.2007 | 14:44 Uhr |

Heute werden vorgebliche Quelle-Rechnungen mit schädlichem Anhang verbreitet. Der Text der Mail lässt offen, was die Empfänger angeblich bestellt haben sollen, der Zweck dieser Mails ist hingegen klar.

Nach dem gestern Abend vorgebliche Rechnungen von Amazon und single.de verbreitet wurden, geht der Versand von Malware-Spam heute munter weiter. Zurzeit ist es das Versandhaus Quelle, das als vermeintlicher Absender der Mails herhalten muss.

Die Mails tragen eine Betreff wie "Ihre Bestellung an Quelle" oder "Quelle Online Rechnung". Im Text der Mail finden sich variierende "Vorgangs-IDs", "Verarbeitungscodes" und Kundennummern sowie ein ebenfalls variable Rechnungssumme, die regelmäßig mehrere 100 Euro beträgt. Was der Mail-Empfänger angeblich bestellt haben soll, wird im Mail-Text hingegen nicht angegeben.

Stattdessen wird für die Details auf den Anhang verwiesen, angeblich eine PDF-Datei. Tatsächlich steckt in dem 7 KB großen RAR-Archiv mit einem Dateinamen wie "Quelle_Rechnung_nqan136n.rar" ein Trojanisches Pferd. Dessen Dateiname lautet "Quelleu6dDenfi64in.pdf.exe", die Datei ist 16 KB groß. Auch in diesem Fall ist es die Aufgabe des versandten Schädlings weitere Malware aus dem Internet nachzuladen.

Erkennung durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Dldr.iBill.Z

Avast!

---

AVG

Downloader.Generic3.VXR

Bitdefender

---

ClamAV

Trojan.Downloader-1334

Command AV

W32/Document-disguised-based!Maximus

Dr Web

DLOADER.Trojan

eSafe

---

eTrust

---

Ewido

Downloader.Nurech

F-Prot

W32/Document-disguised-based!Maximus

F-Secure

Trojan-Downloader:W32/Nurech.BC

Fortinet

---

Ikarus

Win32.Outbreak

Kaspersky

---

McAfee

Downloader-AAP

Microsoft

---

Nod32

---

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Mal/Clagger-A

Symantec

--- (Downloader)*

Trend Micro

---

UNA

---

VBA32

Trojan-Downloader.Agent.35

VirusBuster

---

WebWasher

Trojan.Dldr.iBill.Z

GData AVK 2007 **

---


Quelle: AV-Test , Stand: 07.03.2007, 12:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
133324