Malware-Spam
Falsche Yahoo-Grußkarten
Derzeit werden massiv Spam-artige Mails verbreitet, die als vorgebliche Yahoo-Grußkarten daher kommen. Die enthaltenen Links für auf eine gefälschte Web-Seite, die als Flash Player getarnte Malware enthalten.
Falsche Grußkarten-Mails sind immer noch ein beliebter Weg, um Malware zu verbreiten. Zurzeit sind Spam-artig verschickte Mails unterwegs, die sich als "Ecard from Yahoo! Greetings" ausgeben. Sie kommen mit einem Betreff wie "Your Secret supporter has sent you an e-card from Yahoo! Greetings cardID: 5115" oder Varianten davon ("A Secret admirer has ...", "Your Secret partner has ...", "The Friend has ...") mit veränderlicher "cardID". Die Mails enthalten mehrere Links, einer davon führt auf eine nachgeahmte Website von Yahoo Greetings / American Greetings. Dort werden Besucher aufgefordert ihren Flash Player zu aktualisieren.
Quelle der Spam-Mails ist eines der vielen Botnets, dessen Betreiber weitere Zombies rekrutieren will. Das gleiche Botnet ist auch früher schon durch Massenversand von Phishing- und Spam-Mails aufgefallen. In diesem Fall werden die gefälschten Web-Seiten von Zombie-PCs des Botnets ausgeliefert.
Bei dem vorgeblichen Flash Player (get_new_flashplayer.exe, 44 KB) handelt es sich um ein Trojanisches Pferd, das eine Hintertür ins System öffnet. Dafür kann es einen beliebigen TCP-Port verwenden. Es nimmt Kontakt zu voreingestellten Mail-Servern auf und verschickt sich selbst per Mail als ZIP-Archiv mit Passwortschutz. Das Passwort steht im Mail-Text.
Erkennung der Malware durch aktuelle Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dropper.Gen |
| Avast! | --- |
| AVG | Agent.TLH (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Win32.Worm.Agent.PZU |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| eSafe | Win32.Agent.ej |
| Ewido | --- |
| F-Prot | W32/Agent.Q.gen!Eldorado |
| F-Secure | Email-Worm.Win32.Agent.ej |
| Fortinet | W32/Agent.EJ@mm |
| G-Data AVK | Email-Worm.Win32.Agent.ej |
| Ikarus | Win32.SuspectCrc |
| Kaspersky | Email-Worm.Win32.Agent.ej |
| McAfee | --- (Proxy-Agent.af trojan)* |
| Microsoft | Backdoor:Win32/Agent.ACG |
| Nod32 | Win32/Agent.NEQ trojan (variant) |
| Norman | --- |
| Panda | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/Agent-GWL |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | Backdoor.Win32.Agent.aju |
| Symantec | Trojan.Asprox |
| Trend Micro | BKDR_AGENT.AFSO |
| VBA32 | --- |
| VirusBuster | Backdoor.Agent.EDGF |
| WebWasher | Trojan.Dropper.Gen |
Quelle: AV-Test (http://www.av-test.de), Stand: 18.04.08, 5 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
* noch nicht in offiziellen Virensignaturen enthalten
