71622

Trojanisches Pferd in falschen Mail-Rückläufern

02.10.2008 | 15:23 Uhr |

Spammer nutzen nicht nur Mail-Funktionen wie Zustellbestätigungen, um Adressen zu verifizieren. Sie fälschen auch Nachrichten über Fehlzustellungen von Mails und verbreiten damit Trojanische Pferde.

Spammer und insbesondere Malware-Spammer lassen nichts aus, wenn es darum geht die Quote der ins Ziel gebrachten Spam-Mails zu erhöhen. Sie verifizieren zum Beispiel ihre Adresslisten, in dem sie Mails versenden, die eine Zustellbestätigung anfordern. Da sie dazu eine gültige Absenderadresse benötigen, mit der die Bestätigung empfangen werden kann, kommt ihnen der neuerliche Erfolg beim Knacken der Hotmail-CAPTCHAs gerade recht. Außerdem fälschen Malware-Spammer auch Mails, die eine fehlgeschlagene Mail-Zustellung melden und senden Malware im Anhang mit - gerne auch mit Passwortschutz.

Im Malware Blog von Trend Micro berichtet JM Hipolito über solche vorgeblichen Fehler-Mails. Sie kommen zum Beispiel mit einem Betreff wie "Important document for (Name)" sowie mit gefälschter Absenderangabe und einem Anhang.

Dieser Anhang besteht aus einem ZIP-Archiv mit einem Namen wie "doc.zip", dessen Inhalt durch ein Passwort vor der Entdeckung durch Virenscanner geschützt ist. Das Passwort steht im Mail-Text, der ansonsten nur aus einem Satz wie "Hello (Name), the document is attached." besteht. Das Archiv enthält eine etwa 32 KB große Datei namens "doc.exe", ein Trojanisches Pferd.

Genau der gleiche Schädling (mit identischer Prüfsumme) steckt auch in vorgeblichen Grußkarten-Mails, die parallel dazu verbreitet werden. Hier kommen die gefälschte Absenderangabe "greetingcard.org" und ein Betreff wie "You have received an Greeting eCard" zum Einsatz. Der Text verweist zum Anschauen der vorgeblichen Grußkarte auf den Anhang. Dieser besteht aus einem ZIP-Archiv namens "ecard.zip" (ohne Passwortschutz), das eine "ecard.exe" enthält.

Die Erkennung des Schädlings durch aktuelle Antivirus-Software weist nur noch wenige Lücken auf, einige Anbieter haben zusätzlich eine Erkennung der verschlüsselten ZIP-Datei eingebaut.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XPACK.Gen

A-Squared

Trojan-Spy.Goldun.NDO!IK

Avast!

---

AVG

Pakes.AIJ (Trojan horse)

Bitdefender

Trojan.Spy.Goldun.NDO

CA-AV

Win32/ProcHide.Y

ClamAV

Trojan.Agent-52097

Command AV

W32/Trojan3.BA (destructive program)

Dr Web

Trojan.PWS.GoldSpy.2268

Ewido

---

Fortinet

W32/Agent.XGG!tr

F-Prot

W32/Trojan3.BA

F-Secure

Trojan-Spy.Win32.Goldun.bbg

G-Data AVK 2008

Trojan-Spy.Win32.Goldun.bbg

G-Data AVK 2009

Trojan.Spy.Goldun.NDO

Ikarus

Trojan-Spy.Goldun.NDO

K7 Computing

---

Kaspersky

Trojan-Spy.Win32.Goldun.bbg

McAfee

--- (Generic Downloader.ab)*

Microsoft

TrojanSpy:Win32/Goldun.A

Nod32

Win32/Spy.Goldun.NDM trojan

Norman

W32/Pandex.CG

Panda

Trj/Goldun.TI

QuickHeal

---

Rising AV

---

SecureWeb-Gateway

Trojan.Crypt.XPACK.Gen

Sophos

Mal/EncPk-CZ

Spybot S&D

Worldsecurityonline.FakeAlert,Malware,Executable

Sunbelt

---

Symantec

--- (Trojan.Fakeavalert)*

Trend Micro

TROJ_PAKES.AXQ

VBA32

Malware-Cryptor.Win32.General.2

VirusBuster

TrojanSpy.DR.Goldun.AQE (trojan)

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 02.10.2008, 15 Uhr

0 Kommentare zu diesem Artikel
71622