175824

Vertrags-Mails mit Trojanischem Pferd

09.07.2010 | 15:33 Uhr |

Spam-artig verbreitete Mails enthalten vorgebliche Vertragsunterlagen als ZIP-Datei. Darin steckt jedoch ein Trojanisches Pferd, das Passwörter ausspioniert und weitere Malware nachladen kann.

Malware-Spammer lassen sich zwar immer wieder etwas Neues einfallen, um neue Opfer zu ködern, greifen jedoch auch gerne auf Bewährtes zurück. Dazu scheint auch die Masche mit den vorgeblichen Vertragsunterlagen zu zählen, die nicht zum ersten Mal zum Einsatz kommt . Derzeit werden wieder Schädlinge auf diese Weise verbreitet.

Die Mails kommen mit einem Betreff wie "Contract of settlements", "Loan contract", "Open an account", "Permit for retirement", "Record in debit of account", "Rent contract" oder auch "Your new labour contract" sowie gefälschten Absenderangaben. Im Text heißt es wie früher schon, man habe einen Vertrag vorbereitet und die gewünschten Absätze hinzu gefügt. Wenn der Empfänger zustimme, könne am Freitag die erste Auszahlung erfolgen. Auffällig ist das überflüssige Anführungszeichen vor dem Namen der Unterzeichnerin.

Im Anhang der Mails befindet sich ein 24 KB großes ZIP-Archiv namens "Contract_05_07_2010.zip", das eine EXE-Datei mit Namen "Contract_05_07_2010.DOC.exe" enthält. Die doppelte Dateiendung, ein seit vielen Jahren beliebter Trick, soll eine Word-Datei vortäuschen. Das kann funktionieren, weil der Windows Explorer bis heute (also auch in Windows 7) standardmäßig bekannte Dateiendungen (hier: exe) ausblendet.

Wie Graham Cluley vom britischen Antivirushersteller Sophos in seinem Blog meldet , handelt es sich um einen Schädling aus der von Sophos als "Troj/Bredo" bezeichneten Malware-Familie. Andere Antivirusfirmen nennen sie etwa "Oficla" oder auch "Sasfis", Verwechslungen mit Zbot/Zeus sind auch schon vorgekommen. Schädlinge beider Familien beherrschen die ganze Palette heute üblicher Schadensfunktionen.

Antivirus

Malware-Name

AntiVir

---

Authentium

---

Avast

---

AVG

Generic18.ABSM (Trojan horse)

Bitdefender

Trojan.Downloader.JNGO

CA-AV

---

ClamAV

Trojan.Agent-165468

Dr.Web

---

Eset Nod32

Win32/Oficla.GN trojan

Fortinet

---

F-Prot

---

F-Secure

---

G Data

Trojan.Downloader.JNGO

Ikarus

Win32.Outbreak

K7 Computing

---

Kaspersky

Trojan.Win32.Jorik.Oficla.u

McAfee

--- (Generic Dropper!dfc)*

McAfee Artemis

---

McAfee GW Edition

---

Microsoft

Trojan:Win32/Meredrop

Norman

---

Panda

---

Panda (Online)

Trj/Sinowal.WZZ

PC Tools

Trojan.Sasfis

QuickHeal

Trojan.JorikOficla.u

Rising AV

---

Sophos

Troj/Bredo-DL

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Sasfis

Symantec (Online)

Trojan.Sasfis

Trend Micro

TROJ_BREDO.AL

VBA32

---

VirusBuster

---

Webroot

Troj/Bredo-DL


Quelle: AV-Test ; Stand: 09.07.2010, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
175824