15.10.2009, 14:07

Frank Ziemann

Malware-Spam

Gefälschte Mails zu Outlook Web Access

Eine neue Welle vom Malware-Mails ist angelaufen, die vorgeblich von der eigenen Mail-Domain kommen. Darin heißt es, neue Mailbox-Einstellungen seien verfügbar. Der enthaltene Link führt zu einer Seite mit Malware-Download.
Fälschung: Outlook Web Access

Fälschung: Outlook Web Access

Massenhaft versandte Spam-Mails enthalten Links zu Malware-Seiten. Die Mails folgen einem festen Schema, das insbesondere Outlook-Nutzer ansprechen soll, die Outlook Web Access nutzen. Die Links in den Mails sollen die Empfänger auf eine vorgebliche Konfigurationsseite ihrer Mailbox locken, wo sie sich eine (EXE-) Datei mit neuen Konfigurationseinstellungen herunter laden sollen. Dabei laden sie sich jedoch Malware aus der Zbot-Familie auf den Rechner.
Die Mails kommen mit einem Betreff wie "A new settings file for the <mail-adresse>". Die Absenderangaben sind gefälscht und lauten zum Beispiel "no-reply@domain", "alerts@domain" oder "system@domain". Dabei ist "domain" die vom Empfänger genutzte Mail-Domain, oft eine eigene Domain. In den Mails heißt es, ein "security upgrade" für den "<domain> mailing service" sei erhältlich. Der Empfänger möge den nachfolgenden Link anklicken. Dieser ist zwar scheinbar Benutzer-spezifisch, man erhält jedoch stets dieselbe EXE-Datei - egal, wie man die URL variiert.
Bei dieser Datei handelt es sich um Malware aus der Zbot-Familie. Es handelt sich dabei um einen Bot, der den Rechner zu einem Teil eines Botnet macht. Er wird damit zu einer fremdgesteuerten Spam-Schleuder oder dienst als Web-Server zur Verbreitung von Malware. Die Erkennung der Malware durch Antivirusprogramme ist seit gestern Abend schon etwas besser geworden.
Antivirus Malware-Name
AntiVir TR/Spy.ZBot.9164.1
Authentium ---
Avast ---
AVG Win32/Cryptor
Bitdefender ---
CA-AV Win32/Kollah.ART
ClamAV ---
Dr.Web ---
Eset Nod32 Win32/Nuwar worm (variant)
Fortinet W32/PackZbot.A!tr
F-Prot ---
F-Secure ---
G-Data AVK 2008 Trojan-Spy.Win32.Zbot.gen
G-Data AVK 2009 ---
Ikarus Trojan-Spy.Win32.Zbot
K7 Computing ---
Kaspersky Trojan-Spy.Win32.Zbot.gen
McAfee --- (PWS-Zbot.gen.t)*
McAfee Artemis Artemis!642FF076C8BC (trojan)
McAfee GW Edition Trojan.Spy.ZBot.9164.1
Microsoft PWS:Win32/Zbot.gen!R [generic]
Norman ---
Panda ---
Panda (Online) ---
PC Tools ---
QuickHeal ---
Rising AV ---
Sophos Mal/Zbot-R
Spybot S&D ---
Sunbelt Trojan.Win32.Generic!BT
Symantec --- (Infostealer.Banker.C)*
Trend Micro ---
VBA32 ---
VirusBuster ---
Webroot Mal/Zbot-R

Quelle: AV-Test, Stand: 15.10.2009, 13:00 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
238639
Content Management by InterRed