151888

Vorgebliche Rechnung vom Online-Casino

24.09.2007 | 09:02 Uhr |

Mails mit vorgetäuschten Casino-Abrechnungen sollen die Empfänger zum Anklicken eines Links verleiten, der nur scheinbar zu einer PDF-Datei führt. Tatsächlich wird ein Trojanisches Pferd herunter geladen.

Wer Mails von einem Online-Casino namens "Euro Imperial Casino" erhält, sollte besser nicht auf den darin enthaltenen Link klicken. Die Mails kommen mit einem Betreff wie "Es wurden von Ihrer Karte EUR 497.5 abgebucht" und verkünden, von der Kreditkarte den Empfängers sei der genannte Betrag abgebucht und seinem Spielkonto gutgeschrieben worden. Den Kontoauszug könne er sich von der Website des Casinos herunter laden.

Der Link zeigt auf eine PDF-Datei, wer ihm folgt, wird jedoch sogleich Server-seitig umgeleitet auf eine EXE-Datei gleichen Namens. Genauer gesagt werden dem Dateinamen "billing-rechnung-182192711-1.pdf" noch mehr als 30 Leerzeichen angefügt, bevor die Endung ".exe" folgt. Für eine wirklich gelungene Täuschung fehlt der 9 - 11 KB großen Datei allerdings das PDF-Symbol. Es ist ein Downloader, der einen weitere Schädling namens "tro.exe" vom gleichen Server herunter lädt und startet.

Dabei handelt es sich um ein Trojanisches Pferd auf der Bzub-Familie, das eine Programmbibliothek mit Dateinamen wie zum Beispiel "rtcshare.dll", "sprestrt.dll", "tscupgrd.dll" oder "makecab.dll" im System32-Verzeichnis von Windows ablegt. Diese DLL wird als BHO (Browser Helper Object) für den Internet Explorer registriert und fängt Eingaben in Online-Formulare ab. So kann der Schädling Zugangsdaten für das Online-Banking oder für Online-Spiele ausspionieren und an einen Server im Internet übertragen.

Die Dateien auf dem vorgeblichen Casino-Server werden gelegentlich ausgetauscht, um die Entdeckungsgefahr durch Virenscanner zu verringern. Erkennung der neuesten Malware-Dateien durch Antivirus-Software:

Antivirus

billing...pdf .exe

tro.exe

rtcshare.dll

AntiVir

TR/Dldr.Nurech.CE

TR/Spy.BZub.bma

---

Avast!

---

---

---

AVG

Downloader.Generic6.HVY

---

PSW.Generic5.MSX

A-Squared

---

---

---

Bitdefender

---

---

---

ClamAV

Trojan.Downloader-13935

---

---

Command AV

W32/Downloader.gen10

---

W32/Goldun.gen1

Dr Web

---

Trojan.PWS.Banker.12048

Trojan.PWS.Banker.12048

eSafe

---

---

---

eTrust

---

---

---

Ewido

---

---

---

F-Prot

W32/Downloader.gen10

---

W32/Goldun.gen1

F-Secure

---

---

---

Fortinet

W32/TinyDL.CE!tr.dldr

---

suspicious

Ikarus

Trojan-Downloader.Win32.Nurech.ce

Trojan-Spy.Win32.Goldun.lw

Trojan-Spy.Win32.Goldun.lw

Kaspersky

Trojan-Downloader.Win32.Nurech.ce

Trojan-Spy.Win32.BZub.bma

Trojan-Spy.Win32.BZub.bmb

McAfee

---

---

---

Microsoft

TrojanDownloader:Win32/Small.gen!O

PWS:Win32/Cimuz.gen!A

---

Nod32

NewHeur_PE

Win32/Genetik

Win32/Spy.BZub

Norman

W32/Downloader

---

---

Panda

---

Suspicious file

---

QuickHeal

---

---

---

Rising AV

---

---

---

Sophos

Mal/TinyDL-L

Mal/Behav-102

Mal/Behav-102

Spybot S&D

Smitfraud-C.,,Installer

Nurech,,Executable

---

Sunbelt

---

---

---

Symantec

---

---

---

Trend Micro

---

---

---

VBA32

---

Embedded.Trojan.PWS.Banker.12048

Trojan.PWS.Banker.12048

VirusBuster

---

---

TrojanSpy.BZub.Gen.13

WebWasher

Trojan.Dldr.Nurech.CE

Trojan.Spy.BZub.bma

---

GData AVK 2007 *

Trojan-Downloader.Win32.Nurech.ce

Trojan-Spy.Win32.BZub.bma

Trojan-Spy.Win32.BZub.bmb


Quelle: AV-Test , Stand: 24.09.2007, 2 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
151888