64162

Trojanisches Pferd in vorgeblichem UPS-Lieferschein

09.07.2008 | 16:18 Uhr |

Spam-artig verbreitete Mails verkünden den Empfängern, dass ein UPS-Paket angeblich nicht zugestellt werden konnte. Die Mails enthalten einen schädlichen Anhang, der keineswegs das ist, was er zu sein vorgibt.

Seit gestern Abend werden Spam-Mails mit Malware im Anhang verschickt. Sie kommen mit einem Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) und der gefälschten Absenderangabe "UPS Packet Service". Darin heißt es in nicht ganz fehlerfreiem Deutsch, ein am 1. Juli abgeschicktes Paket habe nicht zugestellt werden können, weil die Empfängeradresse nicht existiere. Der Empfänger möge doch den beigefügten Lieferschein ausdrucken und das Paket bei UPS abholen.

Die Mails kommen alle von unterschiedlichen Rechnern eines Botnets, teils aus Frankreich, teils aus Deutschland oder von ganz woanders her. Sie sind auch bereits bei Adressaten in der Schweiz und Österreich aufgeschlagen.

Der Anhang, auf den der Mail-Text verweist, besteht aus einem 48 KB großen ZIP-Archiv namens "UPS_Lieferschein.zip". Dieses enthält eine entpackt 56 KB große Programmdatei mit dem Namen "UPS_Lieferschein.exe". Dabei handelt es sich keineswegs wie angegeben um ein Formular zum Ausdrucken sondern um ein Trojanisches Pferd.

Wird die EXE-Datei ausgeführt, legt sie im Verzeichnis \Windows\System32 eine Datei mit dem Namen "ntos.exe" an. Diese trägt es dann in den Schlüssel "HKEY_LOCAL_Machine\software\microsoft\windows nt\currentversion\winlogon" der Registry ein. Dadurch wird der Schädling bei jedem Start von Windows aufgerufen.

Die Erkennung des schädlichen Anhangs durch Antivirus-Software hat sich über Nacht stark verbessert. Waren es gestern Abend lediglich vier Antivirusprogramme, erkennen ihn inzwischen bereits zwölf mit regulären Updates.

Antivirus

Malware-Name

AntiVir

TR/Spy.ZBot.dbi

Avast!

---

AVG

Downloader.Agent.AICN (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Spy.Zbot.GF

CA-AV

Win32/Kollah.LY

ClamAV

Trojan.Agent-30509

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

Trojan-Spy.Win32.Zbot.dbi

Fortinet

--- (Agent.HEY!tr)*

G-Data AVK

Trojan-Spy.Win32.Zbot.dbi

Ikarus

Win32.Outbreak

Kaspersky

Trojan-Spy.Win32.Zbot.dbi

McAfee

--- (Generic.f trojan)*

Microsoft

---

Nod32

Win32/Spy.Agent.PZ trojan

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Troj/Agent-HEY

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

Symantec

--- (XPAntivirus)*

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Spy.ZBot.dbi

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 09.07.08, 14:30 Uhr

0 Kommentare zu diesem Artikel
64162