Malware: Angebot von Berliner Airlines
Eine eher schlecht gemachte, vorgebliche Offerte einer Fluggesellschaft soll potenzielle Opfer auf eine mit Malware verseuchte Website locken. Diese soll dann ein Spionageprogramm einschleusen.
Zwar geht den Malware-Spammern die Fantasie nicht aus, sich neue Varianten dubioser Mails auszudenken, mit denen sie die Empfänger auf ihre Websites locken wollen, aber beim Handwerk hapert es doch zuweilen mächtig. So wird seit gestern eine Mail mit dem Betreff "Interessanter Angebot von 'Berliner Airlines'" verbreitet, die vorgibt eine Sommeraktion einer Fluggesellschaft namens "Berliener Airlines" bekannt machen zu wollen. Die gefälschte Absenderangabe bedient sich der Domain von Air Berlin.
Man soll für nur 20 Euro zu jedem Punkt in der EU fliegen können, verspricht die Mail. Näheres soll der interessierte Fluggast in spe auf einer Website mit koreanischer Domain erfahren, was doch den Einen oder die Andere stutzig machen sollte. Beim Aufruf dieser Website wird eine Fehlermeldung angezeigt, laut der man doch bitte die Seite neu laden solle. Im Hintergrund landet unterdessen ein Trojanisches Pferd im Windows-Verzeichnis.
Wie bei den diversen ähnlichen Versuchen in letzter Zeit, die PCs von allzu sorglosen Internet-Nutzern mit Spyware verseuchen sollten, legt dieser Schädling aus der Bzub-Familie eine Datei namens "ipv6monl.dll" im System32-Verzeichnis von Windows ab. Diese Datei wird als BHO (Browser Helper Object) im Internet Explorer eingepflanzt. Dort protokolliert sie eingegebene Zugangsdaten für das Online-Banking oder andere interessante Informationen und meldet diese an die Täter.
Die recht lückenhaften Erkennung durch Antivirus-Programme etliche Stunden nach der Spam-Welle zeigt, dass sich einige wenige Antivirus-Hersteller auf die Malware dieser Tätergruppe eingeschossen haben und sie generisch erkennen, während die meisten anderen noch an passenden Signatur-Updates arbeiten.
| Antivirus | update.exe | ipv6monl.dll |
|---|---|---|
| AntiVir | HEUR/Malware | HEUR/Malware |
| Avast! | --- | Win32:BZub-DR [Trj] |
| AVG | --- | --- |
| Bitdefender | --- | --- |
| ClamAV | --- | Trojan.Spy-4944 |
| Command AV | --- | --- |
| Dr Web | --- | --- |
| eSafe | --- | --- |
| eTrust | --- | --- |
| Ewido | --- | --- |
| F-Prot | --- | --- |
| F-Secure | --- | --- |
| Fortinet | --- | --- |
| Ikarus | Trojan-Spy.Win32.Goldun.lw | Win32.Outbreak |
| Kaspersky | --- | --- |
| McAfee | --- | Spy-Agent.ba.gen |
| Microsoft | --- | --- |
| Nod32 | --- | --- |
| Norman | W32/Malware (Sandbox) | --- |
| Panda | --- | --- |
| QuickHeal | --- | --- |
| Rising AV | --- | --- |
| Sophos | Mal/Binder-C | Mal/Cimuz-A |
| Symantec | --- | Infostealer.Bzup |
| Trend Micro | --- | TSPY_BZUB.IH |
| VBA32 | --- | --- |
| VirusBuster | Trojan.DR.BZub.Gen.13 | --- |
| WebWasher | Heuristic.Malware | Heuristic.Malware |
| GData AVK 2007 * | --- | Win32:BZub-DR [Trj] |
Quelle: AV-Test, Stand: 27.04.2007, 1:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast
