143472

Malware: Neue Anwaltsrechnung

24.04.2007 | 14:49 Uhr |

Mails mit vorgeblichen Rechnungen einer bekannten Anwaltskanzlei sollen einmal mehr zur Vermehrung von Botnets beitragen, denn statt einer signierten Word-Datei steckt ein Trojanisches Pferd in den Mails.

Wie schon vor zwei Wochen werden heute Mails mit vorgeblichen Rechnungen des Rechtsanwalts Olaf Tank verschickt. Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Forderung AZ: 105485/43", "Aktenzeichen: 418591/41", "Erstattung einer Anzeige", "Forderung AZ: 105485/43" oder "Mahnung AZ: 298544/59" sowie der gefälschten Absenderangabe "anwalt@forderungseinzug.de". Im Text wird die anwaltliche Vertretung der Schmidtlein-Brüder angezeigt und wie schon in den Mails vom 10. April eine Forderung erhoben, die sich auf eine angebliche Nutzung der kostenpflichtigen Website p2p-heute.com bezieht.

Im Unterschied zu echten Schreiben des Anwalts, aus denen der Text vermutlich kopiert wurde, wird mit dem Satz "Das Originalrechnung finden Sie im Anhang als signierte Word Datei" auf einen Mail-Anhang verwiesen, der in einem ZIP-Archiv namens "Rechnung.zip" steckt. Dieses enthält eine EXE-Datei mit doppelter Dateiendung ("Rechnung_Sign[lange Nummer].pdf.exe"), die eher auf eine PDF- als eine Word hinweist, während die Datei jedoch ein Word-Symbol trägt.

Wird die vermeintliche Word-Datei durch Doppelklick geöffnet, startet das Programm seine Download-Routine. Es holt sich zunächst Text-Dateien mit teilweise verschlüsselten Download-URLs und lädt dann die darin genannten Dateien herunter. Mit der Installation dieser Dateien wird der Rechner zu einem Teil eines Botnets, mutiert also zur fremdgesteuerten Spam-Schleuder.

Außerdem legt der Schädling eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows an und registriert sie als BHO (Browser Helper Object) im Internet Explorer. So können Zugangsdaten, etwa für das Online-Banking, die der Benutzer im IE eingibt, abgefangen werden. Das Gesamtverhalten dieses Malware-Pakets entspricht also dem bei dieser Art Malware Üblichen.

Erkennung durch Antivirus-Software:

Antivirus

rechnung.pdf.exe

ipv6monl.dll

setup.exe

AntiVir

---

HEUR/Malware

HEUR/Malware

Avast!

---

Win32:BZub-DR [Trj]

---

AVG

---

---

---

Bitdefender

Application.Inquire.A

---

---

ClamAV

---

Trojan.Spy-4944

---

Command AV

---

---

---

Dr Web

DLOADER.Trojan (probably)

---

---

eSafe

Trojan/Worm [101] (suspicious)

---

---

eTrust

---

---

---

Ewido

---

---

---

F-Prot

W32/Downloader.gen2

---

---

F-Secure

Trojan-Downloader:W32/Nurech.BJ

---

---

Fortinet

suspicious

---

---

Ikarus

Win32.SuspectCrc

---

Trojan-Spy.Win32.BZub.hk

Kaspersky

Trojan-Downloader.Win32.Nurech.bi

---

---

McAfee

---

Spy-Agent.ba.gen

---

Microsoft

---

---

---

Nod32

---

---

---

Norman

---

---

W32/Malware (Sandbox)

Panda

Suspicious file

Mal/Cimuz-A

---

QuickHeal

---

---

---

Rising AV

---

---

---

Sophos

---

---

Mal/Binder-C

Symantec

---

Infostealer.Bzup

---

Trend Micro

TROJ_SMALL.IAU

TSPY_BZUB.IH

---

VBA32

---

---

---

VirusBuster

---

Trojan.DR.BZub.Gen.12

---

WebWasher

Adware.Win32.Malware.gen

Heuristic.Malware

Heuristic.Malware

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.bi

Win32:BZub-DR [Trj]

---


Quelle: AV-Test , Stand: 24.04.2007, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
143472