105714

Falsche Ebay-Mails mit Trojanischem Pferd

16.03.2007 | 15:00 Uhr |

Eine vorgeblich von Ebay kommende Mail bezüglich einer Adressänderung enthält einen schädlichen Anhang. Die Spam-artig verbreiteten Mails folgen dem inzwischen hinlänglich bekannten Schema ihrer Vorgänger.

Die Versender vorgeblicher Rechnungen haben offenbar befunden, dass Ebay mal wieder an der Reihe wäre als vermeintlicher Absender herhalten zu müssen. Möglicherweise haben sie bislang mit gefälschten Ebay-Mails gute Erfolge erzielt. Die Mails kommen mit einem Betreff wie "EBay-Hinweis zu geanderter E-Mail-Adresse". Im Anhang befindet sich ein ZIP-Archiv namens "Ebay.zip", das ein Trojanisches Pferd mit dem Dateinamen "Ebay.jpg.exe" (7 KB) enthält.

Im Text, der früheren Mails dieser Art gleicht, wird allerdings auf eine PDF-Datei hingewiesen, die sich im Anhang befinden soll. Darin soll der Empfänger eine Anleitung für den Fall finden, dass er gar keine Adressänderung vorgenommen hat. Ob hinter der somit doppelt falschen Dateiendung ein Versehen oder Absicht steckt, bleibt Spekulation.

Das Trojanische Pferd ist jedenfalls, wie schon in früheren Fällen, ein Downloader, der weitere Malware aus dem Web nachlädt. Dabei handelt es sich im eine 88 KB große Datei namens "2.exe" von einer lange bekannten Download-Adresse, wo ständig neue Schädlingsvarianten bereit gestellt werden. Bei dem nachgeladenen Schädling handelt es sich um Malware, die zum Aufbau eines Botnets dient. Infizierte Rechner werden zu so genannten Zombies, also fremdgesteuerte Teile des Botnets und mutieren auf Befehl zur Spam-Schleuder.

Erkennung durch Antivirus-Programme:

Antivirus

ebay.jpg.exe

2.exe

AntiVir

TR/Dldr.iBill.AC

Worm/SdBot.196017

Avast!

---

---

AVG

---

Generic3.KJC

Bitdefender

Trojan.Downloader.Nurech.AD

---

ClamAV

Trojan.Downloader-3392

---

Command AV

---

---

Dr Web

---

---

eSafe

---

Trojan/Worm [100]

eTrust

---

---

Ewido

Downloader.Nurech.bb

Downloader.Agent.bhc

F-Prot

---

---

F-Secure

Trojan-Downloader.Win32.Nurech.bb

Trojan.Win32.Small.lh

Fortinet

W32/Small.E208!tr.dldr

W32/Small.LH!tr

Ikarus

Trojan-Downloader.Win32.Small

Trojan.Win32.Small.lh

Kaspersky

Trojan-Downloader.Win32.Nurech.bb

Trojan.Win32.Small.lh

McAfee

---

---

Microsoft

---

---

Nod32

Win32/TrojanDownloader.Nurech.NAO

Win32/Small.LH trojan

Norman

---

Suspicious_F.gen

Panda

---

Trj/Abwiz.CE

QuickHeal

---

Suspicious (warning)

Rising AV

---

---

Sophos

Troj/DwnLdr-GFX

Mal/Packer

Symantec

--- (Downloader)*

--- (Trojan Horse)*

Trend Micro

---

---

UNA

---

---

VBA32

---

MalwareScope.Trojan-Spy.BZub.1

VirusBuster

---

suspicious

WebWasher

Trojan.Dldr.iBill.AC

Worm.SdBot.196017

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.bb

Trojan.Win32.Small.lh

Quelle : AV-Test , Stand: 16.03.07, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
105714