78204

Erneut vorgebliche Ebay-Rechnung per Mail

20.10.2005 | 16:12 Uhr |

Heute werden wieder falsche Ebay-Rechnungen verbreitet, die ein Trojanisches Pferd enthalten.

Nach bekanntem Schema werden heute wieder vorgebliche Ebay-Rechnungen mit einem Trojanischen Pferd im Anhang verschickt. Die als "rechnung.pdf.exe" getarnte Datei wird zurzeit erst von wenigen Virenscannern erkannt.

Die Mail kommt vorgeblich zum Beispiel von "eBay Auktionen" oder "Ebay-Gebueren" mit dem Betreff "Ebay.de Rechnung" oder "Wichtige Rechnung". Sie beginnt mit der hervor gehobenen Warnung "Die Zahlung Ihrer eBay-Gebuehren ist demnaechst faellig". Der Text der Mail weist dann eine angebliche Rechnungssumme von zum Beispiel 1388,53 EUR oder auch nur 10,21 EUR aus, die der Empfänger der Mail doch bitte bald zahlen möge.

Dann folgen Anweisungen wie "Drucken Sie bitte die mitgesandte Rechnung aus (Rechnung.pdf)", womit der Empfänger verleitet werden soll, die angehängte Datei zu öffnen. Diese hat jedoch eine zweite Dateiendung (.exe), die nicht in jedem Fall gleich erkennbar ist. Zudem trägt die Datei ein Symbol, das sie als PDF-Datei ausweisen soll.

Öffnet der arglose Empfänger diese Datei, wird das Trojanische Pferd aktiv. Bei bestehender Internet-Verbindung nimmt es Kontakt zu mehreren Servern auf und lädt weitere Schädlinge auf die Festplatte. Diese sollen Tastatureingaben protokollieren, vorwiegend beim Online-Banking. Damit schließt sich der Kreis zur vorgeblichen Ebay-Rechnung, denn der Empfänger wird sich womöglich gleich bei seinem Ebay- oder Bank-Konto einloggen.

Bislang erkennt Antivir die rechnung.pdf.exe als "TR/Dldr.TComBill.F", Kaspersky (und andere Produkte mit Kaspersy-Scanner) melden "Trojan-Downloader.Win32.Agent.xs". Dr Web, Ikarus und McAfee finden die Datei ebenso wie Fortinet verdächtig und melden generische Namen wie "New Win32 (virus or variant)" oder "DLOADER.Trojan (probably)". Die übrigen Antivirus-Produkte sind mit offiziell erhältlichen Updates noch nicht im Bilde, werden jedoch früher oder später nachziehen.

0 Kommentare zu diesem Artikel
78204