Malware-Spam
Vorgebliche Abrechnung mit Trojanischem Pferd
Zurzeit werden Spam-artige Mails verbreitet, die vorgeblich von einer Inkassofirma kommen und deren Anhang ein Trojanisches Pferd enthält. Antivirus-Software ist derzeit noch nicht im Bilde.
Vorgebliche Rechnungen, Mahnungen oder Abbuchungen, die ungezielt per Mail verbreitet werden, sind bei Malware-Spammer recht beliebt. Heute sind wieder derartige Mails unterwegs, die vorgeblich von einer Inkassofirma aus Bielefeld stammen. Der Anhang, eine ZIP-Datei, enthält ein Trojanisches Pferd, das von Virenscannern bislang noch nicht erkannt wird.
Die Mails kommen mit einem Betreff wie Abrechnung "225991914791" (die Nummer variiert) und einer gefälschten Absenderangabe. Im Text heißt es, eine Anzahlung sei erfolgt und ein vierstelliger Euro-Betrag (die Summe variiert) sei "Ihrem Konto zu Last geschrieben". Der Text verweist für eine "Auflistung der Kosten" auf den Anhang der Mail, eine knapp 20 KB große Archivdatei namens "abrechnung.zip".
Diese ZIP-Datei enthält zwei Dateien. Die eine ist nur 1,5 KB groß, landet beim Entpacken im aktuellen Verzeichnis und heißt "abrechnung.lnk", wobei die Endung in der Standardeinstellung des Windows Explorers nicht angezeigt wird. Die zweite Datei namens "scann.a" wird in das Unterverzeichnis "scann" entpackt und ist etwa 25 KB groß. Dabei handelt es sich um eine umbenannte EXE-Datei, die von der LNK-Datei aufgerufen wird, falls man diese startet.
Dieses Trojanische Pferd nimmt Kontakt zu einem Server in China auf. Es installiert Malware, die zum Ausspähen von Zugangsdaten dient, etwa solchen fürs Online-Banking.
Update 2: Die Erkennung der Schädlinge durch aktuelle Virenscanner weist inzwischen nur noch noch wenige Lücken auf.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.iBill.BR |
| Avast! | Win32:Trojan-gen {Other} |
| AVG | Pakes.ANT (Trojan horse) |
| Bitdefender | Worm.Generic.36004 |
| CA-AV | --- (Win32/Auraax.DO)* |
| ClamAV | Trojan.Agent-62899 |
| Command AV | W32/Trojan3.LG (destructive program) |
| Dr Web | Trojan.DownLoad.16843 |
| Fortinet | W32/Autorun.KD!worm |
| F-Prot | W32/Trojan3.LG |
| F-Secure | Worm.Win32.AutoRun.svl |
| G-Data AVK 2008 | Worm.Win32.AutoRun.svl |
| G-Data AVK 2009 | Worm.Generic.36004 |
| Ikarus | Win32.Outbreak |
| K7 Computing | --- |
| Kaspersky | Worm.Win32.AutoRun.svl |
| McAfee | Spy-Agent.bw (trojan) |
| Microsoft | TrojanDropper:Win32/Emold.C |
| Nod32 | Win32/AutoRun.FakeAlert.AD worm |
| Norman | --- |
| Panda | W32/Auraax.B.worm |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| SecureWeb-GW | Trojan.Dldr.iBill.BR |
| Sophos | Troj/Agent-IIJ |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Downloader |
| Trend Micro | WORM_AUTORUN.BWQ |
| VBA32 | Worm.Win32.AutoRun.xfd |
| VirusBuster | Trojan.Agent.FKIA (trojan) |
Quelle: AV-Test, Stand: 25.11.08, 18:30 Uhr
