236789

Passwort-geschützter Schädling statt Vertrag

26.10.2009 | 15:22 Uhr |

In Spam-artig verbreiteten Mail wird ein vorgeblicher Vertrag als Anhang verschickt, der in einer mit einem Passwort geschützten ZIP-Datei stecken soll. Tatsächlich befindet darin sich ein Trojanisches Pferd.

Die Verbreitung von Malware mit Hilfe Spam-artig verschickter Mails hat zurzeit Hochkonjunktur. Noch immer werden massenhaft vorgeblich von Microsoft kommende Update-Mails versandt. Am Wochenende ist eine weitere, kleinere Welle hinzu gekommen. Diese Mails sollen den Anschein erwecken, sie enthielten einen Vertragsentwurf, den der Empfänger erwartet hätte. Die Mail enthält einen verschlüsselten Anhang, in dem ein Trojanisches Pferd steckt.

Die Mails kommen mit dem Betreff "Contract of Settlements". Die Absenderangabe lautet "LSM Company", die Absenderadresse ist gefälscht und mit der Zieladresse identisch. Im Text heißt es in englischer Sprache, man habe den Vertrag überarbeitet und die vom Empfänger gewünschten Passagen hinzu gefügt. Man sei bereit am Freitag eine erste Zahlung anzuweisen. Um den Eindruck der Legitimität zu erhöhen (so ein Vertrag ist schließlich vertraulich), ist im Text das Passwort für die angehängte ZIP-Datei angegeben.

Diese Verschlüsselung dient jedoch lediglich dazu den Anhang unerkannt am Virenscanner vorbei zu schleusen. Die ZIP-Datei im Anhang heißt "contract_1.zip", ist etwa 30 KB groß und enthält eine Programmdatei namens "contract_1.exe" - ein Trojanisches Pferd. Wie Maydalene Salvador im Malware Blog des Antivirusherstellers Trend Micro berichtet, lädt es Dateien aus dem Internet herunter. Dabei handelt es sich um ein betrügerische Antivirusprogramm, so genannte Scareware.

Den Passwortschutz hat der schädliche Mail-Anhang bitter nötig, denn die enthaltene EXE-Datei wird bereits seit letzten Freitag von den meisten Virenscannern erkannt.

Antivirus

Malware-Name

AntiVir

TR/Agent.AH.158

Authentium

W32/FakeAlert.LN

Avast

Win32:MalOb-X [Cryp]

AVG

Generic15.NVF (Trojan horse)

Bitdefender

Trojan.Generic.2597382

CA-AV

Win32/FakeAlert.AVN

ClamAV

Trojan.Peed-483

Dr.Web

Trojan.Packed.683

Eset Nod32

Win32/TrojanDownloader.FakeAlert.GU trojan

Fortinet

W32/FakeAlert.SYY!tr.dldr

F-Prot

W32/FakeAlert.LN

F-Secure

Trojan:W32/Agent.MER

G-Data AVK 2008

Packed.Win32.Krap.ah

G-Data AVK 2009

Trojan.Generic.2597382

Ikarus

Packed.Win32.Krap

K7 Computing

Riskware (2e177cff0)

Kaspersky

Packed.Win32.Krap.ah

McAfee

FakeAlert-JP (trojan)

McAfee Artemis

FakeAlert-JP (trojan)

McAfee GW Edition

Heuristic.LooksLike.Trojan.Vilsel.H

Microsoft

VirTool:Win32/Obfuscator.HG (suspicious)

Norman

---

Panda

--- (Trj/Zlob.KH)*

Panda (Online)

Trj/CI.A

PC Tools

HeurEngine.MaliciousPacker

QuickHeal

Trojan.Krap.ah

Rising AV

---

Sophos

Troj/Agent-LNW

Spybot S&D

---

Sunbelt

Trojan.Win32.Generic!BT

Symantec

Packed.Generic.258

Trend Micro

TROJ_FAKEALE.JH

VBA32

BScope.Win32.AntiAV2010

VirusBuster

Trojan.Vilsel.Gen!Pac (mutant)

Webroot

Troj/Agent-LNW


Quelle: AV-Test , Stand: 26.10.2009, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
236789