19002

Vertrags-Mails mit Malware

24.06.2008 | 15:41 Uhr |

Heute sind wieder Spam-Mails mit einer vorgeblichen Rechnung im Anhang unterwegs. Ein angeblicher Abbuchungsauftrag vom Paypal-Konto über mehrere tausend Euro soll zum Öffnen des Anhangs verleiten, der ein Trojanisches Pferd enthält.

Eine Abbuchung von mehreren tausend Euro vom Paypal-Konto wegen eines angeblichen Vertrags dürfte bei den Empfängern des neuesten Malware-Spams den Adrenalinspiegel kurzzeitig in die Höhe schnellen lassen. Die Details zur Rechnung, heißt es in den Mails, seien im Anhang zu finden. Dieser enthält jedoch ein Trojanisches Pferd. Derartige Mails wurden auch schon vor einem Monat in Umlauf gebracht , heute schwappt eine neue Welle in die Mailboxen.

Die Mails werden mit einem Betreff wie zum Beispiel "Abbuchungserlaubnis", "Darlehensvertrag", "Ihr neuer Arbeitsvertrag", "Mietvertrag" oder auch schlicht "Der Vertrag" verbreitet. Im Text heißt es, der Abbuchungsauftrag sei "erfullt" worden. Wer nach den angeblichen Details zur Rechnung im Anhang sucht, findet ein 66 KB großes Archiv namens "Rechnung.rar". Es enthält eine Datei "Rechnung.exe" mit einem Word-Symbol.

Hierbei handelt es sich jedoch nicht um eine Textdatei sondern um ein Trojanisches Pferd. Der Schädling installiert ein Rootkit aus der Familie "Wsnpoem". Es legt eine Datei "ntos.exe" im Verzeichnis Windows\system32 ab, sowie die Dateien "audio.dll" und "video.dll" in Windows\system32\wsnpoem. Der Schädling soll persönliche Daten ausspionieren.

Aktuelle Antivirusprogramme erkennen das Trojanische Pferd zum Teil bereits, einige Hersteller haben passende Updates in Vorbereitung.

Antivirus

Malware-Name

AntiVir

TR/Spy.ZBot.cod

Avast!

---

AVG

---

A-Squared

---

Bitdefender

Trojan.Spy.Wsnpoem.DX

CA-AV

Win32/Kollah.LQ

ClamAV

Trojan.Agent-27670

Command AV

W32/Trojan2.ASYN (destructive program)

Dr Web

---

eSafe

---

Ewido

---

F-Prot

W32/Trojan2.ASYN

F-Secure

Trojan-Spy.Win32.Zbot.cod

Fortinet

Clagger.BF!tr

G-Data AVK

Trojan-Spy.Win32.Zbot.cod

Ikarus

Win32.Outbreak

Kaspersky

Trojan-Spy.Win32.Zbot.cod

McAfee

New Malware.co (Spy-Agent.bw trojan)*

Microsoft

---

Nod32

Win32/Agent.NXD trojan

Norman

---

Panda

--- (Trj/Sinowal.VNO)*

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Troj/Clagger-BF

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

VIPRE.Suspicious

Symantec

--- (Infostealer.Banker.C)*

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Spy.ZBot.cod

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 24.06.2008, 13 Uhr

0 Kommentare zu diesem Artikel
19002