108954

Malware: Vorgebliche Antivir-Bestellung mit Trojanischem Pferd

23.04.2007 | 16:02 Uhr |

Seit heute Nacht werden vorgebliche Avira-Rechnungen verbreitet, die ein Trojanisches Pferd enthalten. Wie üblich lädt der Anhang weitere Malware aus dem Internet nach.

Heute muss ein Antivirus-Hersteller als vermeintlicher Absender von falschen Rechnungen mit gefährlichem Anhang her halten. Eine Welle Spam-artig verbreiteter Mails kommt mit einem Betreff wie "Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten" und eine Absenderangabe "auto@cleverbridge.com". Die Mails bedanken sich für eine angebliche Bestellung von Avira-Produkten, hier: Antivir Personal Edition Premium mit 5 Jahren Lizenzlaufzeit.

Der Anhang, auf den verwiesen wird, ist ein ZIP-Archiv mit dem Namen "595169.zip", was der im Mail-Text angegebenen "Referenznummer" entspricht. Darin steckt eine Datei namens "HBEDV.KEY.exe" mit einer Größe von gerade einmal 2,5 KB. Sie erkennt, wenn sie in einer virtuellen Maschine (zum Beispiel VMware) ausgeführt wird und ändert dann ihr Verhalten. So soll die Analyse durch Virenforscher erschwert werden.

Wird die Datei auf einem normalen PC ausgeführt, lädt sie eine 116 KB große Datei "ie.exe" aus dem Internet herunter. Avira hat mittlerweile eine Beschreibung bereit gestellt. Daraus geht hervor, dass der Schädling, wie etliche seiner Vorgänger, eine "ipv6monl.dll" im System32-Verzeichnis von Windows anlegt und diese als BHO (Browser Helper Object) im Internet Explorer registriert. Damit können online eingegebene Passwörter ausspioniert werden.

Erkennung durch Antivirus-Software:

Antivirus

HBEDV.KEY.exe

ie.exe

AntiVir

TR/Dldr.iBill.AJ

TR/iBill.AJ

Avast!

Win32:Tiny-GM [Trj]

---

AVG

---

---

Bitdefender

Trojan.Downloader.Tiny.GF

---

ClamAV

Trojan.Downloader-5651

Trojan.Agent-3598

Command AV

W32/Downloader2.BRC

---

Dr Web

---

---

eSafe

---

---

eTrust

---

---

Ewido

Downloader.Nurech.bh

---

F-Prot

W32/Downloader2.BRC

---

F-Secure

Trojan-Downloader.Win32.Nurech.bh

Trojan-Dropper.Win32.Delf.adw

Fortinet

suspicious (W32/Dloadr.AXM!tr.dldr)*

---

Ikarus

Trojan-Downloader.Win32.Nurech.bh

Trojan-Spy.Win32.Goldun.lw

Kaspersky

Trojan-Downloader.Win32.Nurech.bh

Trojan-Dropper.Win32.Delf.adw

McAfee

--- (Spy-Agent.ba.dldr)*

--- (Spy-Agent.ba)*

Microsoft

---

---

Nod32

Win32/TrojanDownloader.Nurech.BH

Win32/Spy.BZub.NDS

Norman

---

W32/Malware (Sandbox)

Panda

Generic Trojan (Trj/Cimuz.ET)*

---

QuickHeal

---

---

Rising AV

---

---

Sophos

Troj/Dloadr-AXM

Mal/Binder-C

Symantec

--- (Downloader.Bzup)*

Infostealer.Bzup

Trend Micro

---

---

VBA32

---

---

VirusBuster

---

---

WebWasher

Trojan.Dldr.iBill.AJ

Trojan.iBill.AJ

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.bh

Trojan-Dropper.Win32.Delf.adw


Quelle: AV-Test , Stand: 23.04.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
108954