Malware getarnt
Trojanischer Vertrag per Mail
In Mails, die den Eindruck erwecken sollen, es handele sich um einen Vertragstext, steckt ein Trojanisches Pferd, das ein Rootkit installiert. Der Schädling steckt im Anhang dieser Mails.
Am Wochenende sind Malware-haltige Mails Spam-artig verbreitet worden, in denen der Verfasser vorgibt, es handele sich um einen von Juristen geprüften Vertragsentwurf. Die Empfänger werden aufgefordert, den vorgeblich im Anhang zu findenden Vertrag zu lesen und eine Entscheidung zu treffen. Um welche Art von Vertrag es sich handeln soll, deutet lediglich der Betreff der Mails an. Dieser lautet zum Beispiel "Abbuchungserlaubnis", "Tilgungsvertrag" oder auch "Mietvertrag".
Im Anhang der Mails befindet sich ein 38 KB großes, komprimiertes RAR-Archiv (Vereinbarung.rar), das die vorzeitige Entdeckung durch Virenscanner verhindern soll. Es enthält eine Datei namens "vertrag.exe", die jedoch keinen Vertragstext sondern ein Trojanisches Pferd enthält. Diese installiert ein Rootkit aus der Wsnpoem-Familie.
Es installiert sich als "ntos.exe" im System32-Verzeichnis von Windows und legt die Dateien "audio.dll" und "video.dll" im Verzeichnis C:\Windows\system32\wsnpoem an. Letztere dienen zum Sammeln und Speichern von Informationen sowie zur verschlüsselten Speicherung der Konfiguration des Schädlings. Die ntos.exe wird hingegen in die Registry eingetragen, um bei jedem Windows-Start geladen zu werden.
Die Erkennung des Schädlings durch Antivirus-Software hat sich über das Wochenende verbessert, ist jedoch noch lückenhaft.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.Buzus.gyk |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | Trojan.Buzus.Y |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | W32/Trojan2.ASTU |
| Dr Web | Trojan.Proxy.3017 |
| eSafe | --- |
| Ewido | --- |
| F-Prot | W32/Trojan2.ASTU |
| F-Secure | Trojan.Win32.Buzus.haz |
| Fortinet | W32/Buzus.HAZ!tr |
| G-Data AVK | Trojan.Win32.Buzus.haz |
| Ikarus | Win32.Outbreak |
| Kaspersky | Trojan.Win32.Buzus.haz |
| McAfee | New Malware.co (Spy-Agent.bw)* |
| Microsoft | --- |
| Nod32 | Win32/Injector.K trojan |
| Norman | --- |
| Panda | --- (Trj/Sinowal.VLW)* |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Troj/Agent-HAF |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | VIPRE.Suspicious |
| Symantec | Infostealer.Banker.C |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Spy.Buzus.gyk |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 26.05.2008, 15:30 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 26.05.2008, 15:30 Uhr
