24.07.2008, 15:46

Frank Ziemann

Erneute UPS-Mails

Mails vom Paketdienst enthalten Trojanisches Pferd

Auch in dieser Woche werden wieder vorgeblich vom Paketdienst UPS kommende Mails verbreitet, die im Anhang ein Trojanisches Pferd enthalten. Dieses soll neue Zombie-Rechner für ein Botnet rekrutieren.

Niemand hat wirklich darauf gewartet, dennoch werden auch in dieser Woche wieder Spam-artig vorgebliche UPS-Mails verbreitet. Sie enthalten einen in eine ZIP-Datei verpackten Schädling. Die Mails werden dieses Mal mit der gefälschten Absenderangabe "United Parcel Service" verschickt. Der Betreff lautet "UPS Tracking Number 2734769074" oder "[RE] UPS Tracking Number 2734769074", wobei die angegebene Nummer variiert.
Der Text der Mails ist der gleiche wie in der letzten Woche und auch schon Anfang Juli. Angeblich habe ein am 1. Juli versandtes Paket nicht zugestellt werden können. Man möge doch das beigefügte Formular ausdrucken, ausfüllen und das Paket abholen.
Der Anhang besteht aus einem 49 KB großen ZIP-Archiv mit einem Dateinamen wie "UPS_INVOICE_187271.zip", "UPS_INVOICE_978172.zip" oder auch "invoice_8712.zip". Es enthält eine gleichnamige EXE, die 56 KB groß ist und ein Word-Symbol hat. Bislang sind zwei an Hand der Prüfsumme unterscheidbare Varianten dieser EXE-Datei bekannt. Wird die Datei ausgeführt, installiert sie ein Rootkit (Tarnkappe) und reiht den Rechner in ein Botnet ein.
Die Erkennung der Schädlinge durch aktuelle Antivirusprogramme ist derzeit noch lückenhaft.
Antivirus Malware-Name 1 Malware-Name 2
AntiVir Worm/Zhelatin.zi ---
Avast! Win32:Zhelatin-DIO [Wrm] ---
AVG I-Worm/Nuwar.V SHeur.BYKQ (Trojan horse)
A-Squared --- ---
Bitdefender Trojan.Peed.JPS ---
CA-AV --- ---
ClamAV --- ---
Command AV --- W32/Trojan2.AUFH (destructive program)
Dr Web --- Trojan.Proxy.3731
eSafe File [100] (suspicious) File [100] (suspicious)
Ewido --- ---
F-Prot --- ---
F-Secure Email-Worm.Win32.Zhelatin.aep Trojan-Spy.Win32.Zbot.dkf
Fortinet --- (W32/Dorf.AEP@mm)* --- (W32/Spy.AS!tr)*
G-Data AVK Email-Worm.Win32.Zhelatin.aep Trojan-Spy.Win32.Zbot.dkf
Ikarus Email-Worm.Win32.Zhelatin.aep Win32.Outbreak.Invoice8712
Kaspersky Email-Worm.Win32.Zhelatin.aep Trojan-Spy.Win32.Zbot.dkf
McAfee W32/Nuwar@MM --- (NTRootKit-J trojan)*
Microsoft Backdoor:Win32/Nuwar.gen!D ---
Nod32 Win32/Nuwar.DF worm ---
Norman --- ---
Panda --- ---
QuickHeal Win32.Email-Worm.Zhelatin.aep.3 ---
Rising AV --- ---
Sophos Mal/Dorf-O Troj/Spy-AS
Spybot S&D Smitfraud-C.,Malware,Executable Worldsecurityonline.FakeAlert,Malware,Executable
Sunbelt --- ---
Symantec Trojan.Peacomm.D --- (Backdoor.Paproxy)*
Trend Micro --- --- (TSPY_ZBOT.PT)*
VBA32 --- Malware-Cryptor.Win32.General.2 (suspected)
VirusBuster --- ---
WebWasher Worm.Zhelatin.zi ---
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 24.07.2008, 14:30 Uhr
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
48320
Content Management by InterRed