11488

Falsche Ebay-Rechnungen mit Trojanischem Pferd

29.05.2006 | 16:18 Uhr |

Mit einer vorgeblichen Rechnung wird ein virulenter Anhang verschickt.

Am Wochenende erhielten Internet-Nutzer in Deutschland Spam-artig verbreitete Mails mit gefälschten Absenderangaben, die eine angebliche Ebay-Abrechnung enthielten. Auf diese Weise sollten die Rechner der Mail-Empfänger mit einem Trojanischen Pferd verseucht werden.

Die Mails wurden mit dem Betreff "eBay Rechnung" verschickt. Der Text der Mails bezieht sich auf einen Abrechnungszeitraum 1. bis 36. Mai 2006 - ein Tippfehler, der eigentlich auffallen sollte.


Guten Tag,
hier ist eine Zusammenfassung der Kontoaktivitaeten seit Ihrer letzten Rechnung

In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung
-------------------------------------------------------------------------------

Rechnung vom 26 Mai 2006
Abrechnungszeitraum: 1.Mai 2006 - 36. Mai 2006 PST/PDT
Fortlaufende ID: 06-EU21707177-1 AG

eBay International AG
Helvetiastrasse 15/17
3005 Bern
Schweiz

Schweizer MwSt-Nummer: 508 508
EU - Umsatzsteuer-Identifikationsnummer: EU528006619
Firmennummer: CH-035.3.833.397-8

eBay-Kontonummer: E137688440957-EUR
Rechnungsnummer: 044694-1313165379010

Letzte Rechnung: |0,00
Zahlungen und Gutschriften: |0,00

Faelliger Gesamtbetrag: |636,56

[...]


Die Mails enthalten einen Anhang namens "Ebay-Rechnung.pdf.zip", worin eine Datei "Ebay-Rechnung.pdf.exe" verpackt ist. Es sind zwei recht unterschiedliche Versionen bekannt, in einem Fall ist die ZIP-Datei 11 KB groß (EXE: 23 KB), in dem anderen nur 5 KB (EXE: 7 KB). Möglicherweise gibt es auch noch weitere Varianten.

Wird die EXE-datei ausgeführt, installiert sie eine Hintertür ("Backdoor"), durch die über das Internet auf den befallenen Rechner zugegriffen werden kann. Ferner werden weitere Schädlinge herunter geladen. Die Windows XP Firewall wird durch einen Registry-Eintrag, der eine Ausnahmeregel definiert, ausgetrickst.

Erkennung durch Antivirus-Software:

Antivirus

Variante 1 (23 KB)

Variante 2 (7 KB)

AntiVir

TR/Dldr.Small.cig.4

TR/Dldr.Harnig.BQ.339

Avast!

-/-

-/-

AVG

Downloader.Generic2.AJQ

Downloader.Generic2.AJH

BitDefender

Trojan.Agent.NE

Trojan.Downloader.Harnig.GX

ClamAV

Trojan.Downloader.Small-1526

-/-

Command AV

-/-

suspicious

Dr Web

Trojan.DownLoader.10249

Trojan.DownLoader.10253

eSafe

Win32.Agent.ne

Win32.Harnig.eo

eTrust-INO

-/-

-/-

eTrust-VET

-/-

-/-

Ewido

Downloader.Agent.ami

Downloader.Harnig.bq

F-Prot

-/-

suspicious

F-Secure

Trojan-Downloader.Win32.Agent.ami

Trojan-Downloader.Win32.Harnig.bq

Fortinet

W32/Agent.AMI!tr.dldr

W32/Harnig.BQ!tr.dldr

Ikarus

Trojan-Downloader.Win32.Agent.ami

Trojan-Downloader.Win32.Harnig.bq

Kaspersky

Trojan-Downloader.Win32.Agent.ami

Trojan-Downloader.Win32.Harnig.bq

McAfee

-/- (Downloader-AAP)*

-/- (Downloader-AAP)*

Microsoft

-/-

-/-

Nod32

Win32/TrojanDownloader.Agent.AMI

Win32/TrojanDownloader.Harnig.BQ

Norman

-/-

W32/Harnig.BPH

Panda

Trj/Cimuz.AW

Trj/Harnig.DN

Quickheal

-/-

Suspicious

Sophos

Troj/DwnLdr-BYH

Troj/Harnig-Z

Symantec

-/- (Downloader.Trojan)*

Download.Trojan

Trend Micro

TROJ_YABE.G

TROJ_HARNIG.EO

VBA32

-/-

Trojan-Downloader.Win32.Harnig.bq

Virusbuster

-/-

Trojan.DL.Harnig.AM


* noch nicht in offiziellen Updates enthalten
Quelle: AV-Test , Stand: 29.05.06, 15:00 Uhr

0 Kommentare zu diesem Artikel
11488