Falsche Rechnung
Vertrags-Mails mit Malware
Heute sind wieder Spam-Mails mit einer vorgeblichen Rechnung im Anhang unterwegs. Ein angeblicher Abbuchungsauftrag vom Paypal-Konto über mehrere tausend Euro soll zum Öffnen des Anhangs verleiten, der ein Trojanisches Pferd enthält.
Eine Abbuchung von mehreren tausend Euro vom Paypal-Konto wegen eines angeblichen Vertrags dürfte bei den Empfängern des neuesten Malware-Spams den Adrenalinspiegel kurzzeitig in die Höhe schnellen lassen. Die Details zur Rechnung, heißt es in den Mails, seien im Anhang zu finden. Dieser enthält jedoch ein Trojanisches Pferd. Derartige Mails wurden auch schon vor einem Monat in Umlauf gebracht, heute schwappt eine neue Welle in die Mailboxen.
Die Mails werden mit einem Betreff wie zum Beispiel "Abbuchungserlaubnis", "Darlehensvertrag", "Ihr neuer Arbeitsvertrag", "Mietvertrag" oder auch schlicht "Der Vertrag" verbreitet. Im Text heißt es, der Abbuchungsauftrag sei "erfullt" worden. Wer nach den angeblichen Details zur Rechnung im Anhang sucht, findet ein 66 KB großes Archiv namens "Rechnung.rar". Es enthält eine Datei "Rechnung.exe" mit einem Word-Symbol.
Hierbei handelt es sich jedoch nicht um eine Textdatei sondern um ein Trojanisches Pferd. Der Schädling installiert ein Rootkit aus der Familie "Wsnpoem". Es legt eine Datei "ntos.exe" im Verzeichnis Windows\system32 ab, sowie die Dateien "audio.dll" und "video.dll" in Windows\system32\wsnpoem. Der Schädling soll persönliche Daten ausspionieren.
Aktuelle Antivirusprogramme erkennen das Trojanische Pferd zum Teil bereits, einige Hersteller haben passende Updates in Vorbereitung.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.ZBot.cod |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | Trojan.Spy.Wsnpoem.DX |
| CA-AV | Win32/Kollah.LQ |
| ClamAV | Trojan.Agent-27670 |
| Command AV | W32/Trojan2.ASYN (destructive program) |
| Dr Web | --- |
| eSafe | --- |
| Ewido | --- |
| F-Prot | W32/Trojan2.ASYN |
| F-Secure | Trojan-Spy.Win32.Zbot.cod |
| Fortinet | Clagger.BF!tr |
| G-Data AVK | Trojan-Spy.Win32.Zbot.cod |
| Ikarus | Win32.Outbreak |
| Kaspersky | Trojan-Spy.Win32.Zbot.cod |
| McAfee | New Malware.co (Spy-Agent.bw trojan)* |
| Microsoft | --- |
| Nod32 | Win32/Agent.NXD trojan |
| Norman | --- |
| Panda | --- (Trj/Sinowal.VNO)* |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Troj/Clagger-BF |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | VIPRE.Suspicious |
| Symantec | --- (Infostealer.Banker.C)* |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Spy.ZBot.cod |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 24.06.2008, 13 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 24.06.2008, 13 Uhr
