38248

Vorgebliche Abrechnung mit Trojanischem Pferd

24.11.2008 | 15:40 Uhr |

Zurzeit werden Spam-artige Mails verbreitet, die vorgeblich von einer Inkassofirma kommen und deren Anhang ein Trojanisches Pferd enthält. Antivirus-Software ist derzeit noch nicht im Bilde.

Vorgebliche Rechnungen, Mahnungen oder Abbuchungen, die ungezielt per Mail verbreitet werden, sind bei Malware-Spammer recht beliebt. Heute sind wieder derartige Mails unterwegs, die vorgeblich von einer Inkassofirma aus Bielefeld stammen. Der Anhang, eine ZIP-Datei, enthält ein Trojanisches Pferd, das von Virenscannern bislang noch nicht erkannt wird.

Die Mails kommen mit einem Betreff wie Abrechnung "225991914791" (die Nummer variiert) und einer gefälschten Absenderangabe. Im Text heißt es, eine Anzahlung sei erfolgt und ein vierstelliger Euro-Betrag (die Summe variiert) sei "Ihrem Konto zu Last geschrieben". Der Text verweist für eine "Auflistung der Kosten" auf den Anhang der Mail, eine knapp 20 KB große Archivdatei namens "abrechnung.zip".

Diese ZIP-Datei enthält zwei Dateien. Die eine ist nur 1,5 KB groß, landet beim Entpacken im aktuellen Verzeichnis und heißt "abrechnung.lnk", wobei die Endung in der Standardeinstellung des Windows Explorers nicht angezeigt wird. Die zweite Datei namens "scann.a" wird in das Unterverzeichnis "scann" entpackt und ist etwa 25 KB groß. Dabei handelt es sich um eine umbenannte EXE-Datei, die von der LNK-Datei aufgerufen wird, falls man diese startet.

Dieses Trojanische Pferd nimmt Kontakt zu einem Server in China auf. Es installiert Malware, die zum Ausspähen von Zugangsdaten dient, etwa solchen fürs Online-Banking.

Update 2: Die Erkennung der Schädlinge durch aktuelle Virenscanner weist inzwischen nur noch noch wenige Lücken auf.

Antivirus

Malware-Name

AntiVir

TR/Dldr.iBill.BR

Avast!

Win32:Trojan-gen {Other}

AVG

Pakes.ANT (Trojan horse)

Bitdefender

Worm.Generic.36004

CA-AV

--- (Win32/Auraax.DO)*

ClamAV

Trojan.Agent-62899

Command AV

W32/Trojan3.LG (destructive program)

Dr Web

Trojan.DownLoad.16843

Fortinet

W32/Autorun.KD!worm

F-Prot

W32/Trojan3.LG

F-Secure

Worm.Win32.AutoRun.svl

G-Data AVK 2008

Worm.Win32.AutoRun.svl

G-Data AVK 2009

Worm.Generic.36004

Ikarus

Win32.Outbreak

K7 Computing

---

Kaspersky

Worm.Win32.AutoRun.svl

McAfee

Spy-Agent.bw (trojan)

Microsoft

TrojanDropper:Win32/Emold.C

Nod32

Win32/AutoRun.FakeAlert.AD worm

Norman

---

Panda

W32/Auraax.B.worm

QuickHeal

Suspicious (warning)

Rising AV

---

SecureWeb-GW

Trojan.Dldr.iBill.BR

Sophos

Troj/Agent-IIJ

Spybot S&D

---

Sunbelt

---

Symantec

Downloader

Trend Micro

WORM_AUTORUN.BWQ

VBA32

Worm.Win32.AutoRun.xfd

VirusBuster

Trojan.Agent.FKIA (trojan)

Quelle: AV-Test , Stand: 25.11.08, 18:30 Uhr

0 Kommentare zu diesem Artikel
38248