48320

Mails vom Paketdienst enthalten Trojanisches Pferd

24.07.2008 | 15:46 Uhr |

Auch in dieser Woche werden wieder vorgeblich vom Paketdienst UPS kommende Mails verbreitet, die im Anhang ein Trojanisches Pferd enthalten. Dieses soll neue Zombie-Rechner für ein Botnet rekrutieren.

Niemand hat wirklich darauf gewartet, dennoch werden auch in dieser Woche wieder Spam-artig vorgebliche UPS-Mails verbreitet. Sie enthalten einen in eine ZIP-Datei verpackten Schädling. Die Mails werden dieses Mal mit der gefälschten Absenderangabe "United Parcel Service" verschickt. Der Betreff lautet "UPS Tracking Number 2734769074" oder "[RE] UPS Tracking Number 2734769074", wobei die angegebene Nummer variiert.

Der Text der Mails ist der gleiche wie in der letzten Woche und auch schon Anfang Juli . Angeblich habe ein am 1. Juli versandtes Paket nicht zugestellt werden können. Man möge doch das beigefügte Formular ausdrucken, ausfüllen und das Paket abholen.

Der Anhang besteht aus einem 49 KB großen ZIP-Archiv mit einem Dateinamen wie "UPS_INVOICE_187271.zip", "UPS_INVOICE_978172.zip" oder auch "invoice_8712.zip". Es enthält eine gleichnamige EXE, die 56 KB groß ist und ein Word-Symbol hat. Bislang sind zwei an Hand der Prüfsumme unterscheidbare Varianten dieser EXE-Datei bekannt. Wird die Datei ausgeführt, installiert sie ein Rootkit (Tarnkappe) und reiht den Rechner in ein Botnet ein.

Die Erkennung der Schädlinge durch aktuelle Antivirusprogramme ist derzeit noch lückenhaft.

Antivirus

Malware-Name 1

Malware-Name 2

AntiVir

Worm/Zhelatin.zi

---

Avast!

Win32:Zhelatin-DIO [Wrm]

---

AVG

I-Worm/Nuwar.V

SHeur.BYKQ (Trojan horse)

A-Squared

---

---

Bitdefender

Trojan.Peed.JPS

---

CA-AV

---

---

ClamAV

---

---

Command AV

---

W32/Trojan2.AUFH (destructive program)

Dr Web

---

Trojan.Proxy.3731

eSafe

File [100] (suspicious)

File [100] (suspicious)

Ewido

---

---

F-Prot

---

---

F-Secure

Email-Worm.Win32.Zhelatin.aep

Trojan-Spy.Win32.Zbot.dkf

Fortinet

--- (W32/Dorf.AEP@mm)*

--- (W32/Spy.AS!tr)*

G-Data AVK

Email-Worm.Win32.Zhelatin.aep

Trojan-Spy.Win32.Zbot.dkf

Ikarus

Email-Worm.Win32.Zhelatin.aep

Win32.Outbreak.Invoice8712

Kaspersky

Email-Worm.Win32.Zhelatin.aep

Trojan-Spy.Win32.Zbot.dkf

McAfee

W32/Nuwar@MM

--- (NTRootKit-J trojan)*

Microsoft

Backdoor:Win32/Nuwar.gen!D

---

Nod32

Win32/Nuwar.DF worm

---

Norman

---

---

Panda

---

---

QuickHeal

Win32.Email-Worm.Zhelatin.aep.3

---

Rising AV

---

---

Sophos

Mal/Dorf-O

Troj/Spy-AS

Spybot S&D

Smitfraud-C.,Malware,Executable

Worldsecurityonline.FakeAlert,Malware,Executable

Sunbelt

---

---

Symantec

Trojan.Peacomm.D

--- (Backdoor.Paproxy)*

Trend Micro

---

--- (TSPY_ZBOT.PT)*

VBA32

---

Malware-Cryptor.Win32.General.2 (suspected)

VirusBuster

---

---

WebWasher

Worm.Zhelatin.zi

---

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 24.07.2008, 14:30 Uhr

0 Kommentare zu diesem Artikel
48320