238639

Gefälschte Mails zu Outlook Web Access

15.10.2009 | 14:07 Uhr |

Eine neue Welle vom Malware-Mails ist angelaufen, die vorgeblich von der eigenen Mail-Domain kommen. Darin heißt es, neue Mailbox-Einstellungen seien verfügbar. Der enthaltene Link führt zu einer Seite mit Malware-Download.

Massenhaft versandte Spam-Mails enthalten Links zu Malware-Seiten. Die Mails folgen einem festen Schema, das insbesondere Outlook-Nutzer ansprechen soll, die Outlook Web Access nutzen. Die Links in den Mails sollen die Empfänger auf eine vorgebliche Konfigurationsseite ihrer Mailbox locken, wo sie sich eine (EXE-) Datei mit neuen Konfigurationseinstellungen herunter laden sollen. Dabei laden sie sich jedoch Malware aus der Zbot-Familie auf den Rechner.

Die Mails kommen mit einem Betreff wie "A new settings file for the <mail-adresse>". Die Absenderangaben sind gefälscht und lauten zum Beispiel "no-reply@domain", "alerts@domain" oder "system@domain". Dabei ist "domain" die vom Empfänger genutzte Mail-Domain, oft eine eigene Domain. In den Mails heißt es, ein "security upgrade" für den "<domain> mailing service" sei erhältlich. Der Empfänger möge den nachfolgenden Link anklicken. Dieser ist zwar scheinbar Benutzer-spezifisch, man erhält jedoch stets dieselbe EXE-Datei - egal, wie man die URL variiert.

Bei dieser Datei handelt es sich um Malware aus der Zbot-Familie. Es handelt sich dabei um einen Bot, der den Rechner zu einem Teil eines Botnet macht. Er wird damit zu einer fremdgesteuerten Spam-Schleuder oder dienst als Web-Server zur Verbreitung von Malware. Die Erkennung der Malware durch Antivirusprogramme ist seit gestern Abend schon etwas besser geworden.

Antivirus

Malware-Name

AntiVir

TR/Spy.ZBot.9164.1

Authentium

---

Avast

---

AVG

Win32/Cryptor

Bitdefender

---

CA-AV

Win32/Kollah.ART

ClamAV

---

Dr.Web

---

Eset Nod32

Win32/Nuwar worm (variant)

Fortinet

W32/PackZbot.A!tr

F-Prot

---

F-Secure

---

G-Data AVK 2008

Trojan-Spy.Win32.Zbot.gen

G-Data AVK 2009

---

Ikarus

Trojan-Spy.Win32.Zbot

K7 Computing

---

Kaspersky

Trojan-Spy.Win32.Zbot.gen

McAfee

--- (PWS-Zbot.gen.t) *

McAfee Artemis

Artemis!642FF076C8BC (trojan)

McAfee GW Edition

Trojan.Spy.ZBot.9164.1

Microsoft

PWS:Win32/Zbot.gen!R [generic]

Norman

---

Panda

---

Panda (Online)

---

PC Tools

---

QuickHeal

---

Rising AV

---

Sophos

Mal/Zbot-R

Spybot S&D

---

Sunbelt

Trojan.Win32.Generic!BT

Symantec

--- (Infostealer.Banker.C) *

Trend Micro

---

VBA32

---

VirusBuster

---

Webroot

Mal/Zbot-R


Quelle: AV-Test , Stand: 15.10.2009, 13:00 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
238639