257005

Trojanischer Vertrag per Mail

26.05.2008 | 16:02 Uhr |

In Mails, die den Eindruck erwecken sollen, es handele sich um einen Vertragstext, steckt ein Trojanisches Pferd, das ein Rootkit installiert. Der Schädling steckt im Anhang dieser Mails.

Am Wochenende sind Malware-haltige Mails Spam-artig verbreitet worden, in denen der Verfasser vorgibt, es handele sich um einen von Juristen geprüften Vertragsentwurf. Die Empfänger werden aufgefordert, den vorgeblich im Anhang zu findenden Vertrag zu lesen und eine Entscheidung zu treffen. Um welche Art von Vertrag es sich handeln soll, deutet lediglich der Betreff der Mails an. Dieser lautet zum Beispiel "Abbuchungserlaubnis", "Tilgungsvertrag" oder auch "Mietvertrag".

Im Anhang der Mails befindet sich ein 38 KB großes, komprimiertes RAR-Archiv (Vereinbarung.rar), das die vorzeitige Entdeckung durch Virenscanner verhindern soll. Es enthält eine Datei namens "vertrag.exe", die jedoch keinen Vertragstext sondern ein Trojanisches Pferd enthält. Diese installiert ein Rootkit aus der Wsnpoem-Familie.

Es installiert sich als "ntos.exe" im System32-Verzeichnis von Windows und legt die Dateien "audio.dll" und "video.dll" im Verzeichnis C:\Windows\system32\wsnpoem an. Letztere dienen zum Sammeln und Speichern von Informationen sowie zur verschlüsselten Speicherung der Konfiguration des Schädlings. Die ntos.exe wird hingegen in die Registry eingetragen, um bei jedem Windows-Start geladen zu werden.

Die Erkennung des Schädlings durch Antivirus-Software hat sich über das Wochenende verbessert, ist jedoch noch lückenhaft.

Antivirus

Malware-Name

AntiVir

TR/Spy.Buzus.gyk

Avast!

---

AVG

---

A-Squared

---

Bitdefender

Trojan.Buzus.Y

CA-AV

---

ClamAV

---

Command AV

W32/Trojan2.ASTU

Dr Web

Trojan.Proxy.3017

eSafe

---

Ewido

---

F-Prot

W32/Trojan2.ASTU

F-Secure

Trojan.Win32.Buzus.haz

Fortinet

W32/Buzus.HAZ!tr

G-Data AVK

Trojan.Win32.Buzus.haz

Ikarus

Win32.Outbreak

Kaspersky

Trojan.Win32.Buzus.haz

McAfee

New Malware.co (Spy-Agent.bw)*

Microsoft

---

Nod32

Win32/Injector.K trojan

Norman

---

Panda

--- (Trj/Sinowal.VLW)*

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Troj/Agent-HAF

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

VIPRE.Suspicious

Symantec

Infostealer.Banker.C

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Spy.Buzus.gyk

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 26.05.2008, 15:30 Uhr

0 Kommentare zu diesem Artikel
257005