229760

Malware: Neue Rechnungs-Mails mit Trojanischem Pferd

24.07.2007 | 15:55 Uhr |

Heute werden Mails verbreitet, die vorgeblich von einem Internet-Dienstleister kommen und einen als Rechnung ausgewiesenen Anhang enthalten. Darin steckt jedoch ein Trojanisches Pferd.

Die Verbreitung Trojanischer Pferde per Mail als vorgebliche Rechnung wird heute um ein weiteres Beispiel bereichert. Diesmal ist es ein hierzulande eher unbekannter amerikanischer Internet-Dienstleister namens "User In Mind", dessen Domain als angebliche Absenderadresse herhalten muss. Die Mails kommen mit einem Betreff wie "#464146 Lieferung" (die Nummer kann variieren). Beim Text haben sich die Versender nicht viel Mühe gegeben, aber immerhin ist er in einwandfreiem Deutsch verfasst. Der verwendete Zeichensatz "KOI8-R" (kyrillisch) weist auf einen osteuropäischen Ursprung hin.

Der Text verweist auf den Anhang, der angeblich eine Rechnung enthalten soll. In dem Archiv "rechnung.zip" steckt eine 7 KB große EXE-Datei mit dem Namen "Rechnung______________23.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe". Dieser lange Name soll wohl sicher stellen, dass dem Empfänger die Dateiendung nicht auffällt, denn es handelt sich um ein Trojanisches Pferd.

Wird dieses Programm aufgerufen, nimmt es Verbindung zu Servern im Internet auf und lädt weitere Schädlinge herunter. Diese installieren letztlich eine 217 KB große Datei "ntos.exe" im System32-Verzeichnis von Windows. Hierbei handelt es sich um einen Schädling aus der Bancos-Familie, der Zugangsdaten für das Online-Banking ausspionieren soll.

Antivirus

Rechnung___.exe

ntos.exe

AntiVir

TR/Dldr.iBill.AY

TR/Spy.Bancos.AAY

Avast!

---

---

AVG

---

---

A-Squared

---

---

Bitdefender

---

---

ClamAV

Trojan.Downloader.Nurech-10

---

Command AV

---

---

Dr Web

---

Trojan.Proxy.1988

eSafe

---

---

eTrust

Win32/Chepvil!generic

---

Ewido

---

---

F-Prot

---

---

F-Secure

---

Trojan-Spy.Win32.Bancos.aam

Fortinet

--- (Clagger.G)*

W32/Agent.BRW!tr

Ikarus

Trojan-Downloader.Win32.Nurech.bu

Trojan-Spy.Win32.Bancos.aam

Kaspersky

Trojan-Downloader.Win32.Nurech.bu

Trojan-Spy.Win32.Bancos.aam

McAfee

--- (Downloader-AAP)*

---

Microsoft

---

---

Nod32

---

---

Norman

---

---

Panda

---

Suspicious file

QuickHeal

---

Suspicious

Rising AV

---

---

Sophos

Mal/Clagger-G

Mal/EncPk-AK

Spybot S&D

---

---

Symantec

---

Infostealer.Banker.C

Trend Micro

---

---

VBA32

---

---

VirusBuster

---

---

WebWasher

Trojan.Dldr.LooksLike.Agent!7217

Trojan.Spy.Bancos.AAY

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.bu

Trojan-Spy.Win32.Bancos.aam

Quelle: AV-Test , Stand: 24.07.2007, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
229760