137592

Malware in vermeintlicher Otto-Rechnung

01.08.2005 | 14:59 Uhr |

Ein Trojanisches Pferd kommt per Mail als Rechnung des Otto-Versands getarnt.

Am Wochenende tauchte eine neue Variante eines bekannten Schemas auf: Mails mit einer angeblichen Auftragsbestätigung und Rechnung des Otto-Versands transportierten ein Trojanisches Pferd. Das Prinzip ist seit Herbst 2004 in Form vorgeblicher Telekom-Rechnungen bekannt.

Die Mails kommen mit einer gefälschten Absenderangabe wie "Otto (GmbH & Co KG) <info@otto.com>" und einem Betreff wie zum Beispiel "Otto.de Ihre Bestellung vom 14.07.2005 451,34 Euro". Der Text der Mails lautet:

Sehr geehrte Damen und Herren, vielen Dank für Ihre Bestellung.

*Bestellnummer: 4583497532*

Der Rechnungsbetrag wird per Einzugsermächtigung eingezogen. Bitte schicken Sie die Unterlage noch heute per Post an uns zurück. Die Rechnung finden Sie in der beigefügten PDF Datei. <>

Anbei finden Sie, falls Sie es nicht auf unserer Website ausgedruckt haben, das Blanko-Formular für die Bankeinzugsermächtigung. <> Mit freundlichen Grüßen

Im Anhang befindet sich eine fünf KB große Datei namens "Rechnung.pdf.exe" mit PDF-Symbol. Diese Datei ist ein Trojanisches Pferd, das von einigen Virenscannern als Variante des Schädlings "Vidlo" erkannt wird, der bereits in den falschen Telekom-Mails zum Einsatz kam. Antivir erkennt die Datei mit Update von heute als "TR/Dldr.TcomBill.B".

Die neue Vidlo-Variante enthält eine Liste von mehr als 60 URLs, von denen weitere Trojanische Pferde herunter geladen werden sollen. Es sind allerdings nur noch wenige Server aus der Liste übrig, die tatsächlich noch liefern können. Diese Server enthalten zwei Trojanische Pferde, die beide wechselweise als "2.exe" und "3.exe" abgelegt sind. Eines davon ist ein alter Bekannter aus der Familie "Dumador/Nibu", das andere eine bis dato noch nicht bekannte Variante davon.

Beide öffnen eine Hintertür zur Fernsteuerung des Computers und enthalten einen Key-Logger, der Tastatureingaben protokolliert. Kaspersky beispielsweise erkennt die erste Variante als "Backdoor.Win32.Dumador.dg", die zweite mit Update von heute als "Backdoor.Win32.Dumador.dh". Norton Antivirus erkennt beide als " Backdoor.Nibu.J ".

Tipp : Achten Sie also bei Mails mit Anhang stets darauf, dass Ihr Mail-Programm tatsächlich alle Dateiendungen des Anhangs anzeigt - auch die letzte, die in solchen Fällen gerne ".exe", ".scr", ".pif" und so fort lautet. Aktualisieren Sie Ihre Antivirus-Software stets vor dem Herunterladen Ihrer Mails.

0 Kommentare zu diesem Artikel
137592