170796

Malware in vorgeblichen Neckermann-Rechnungen

26.01.2007 | 13:48 Uhr |

Dem Gesetz der Serie folgend ist heute Neckermann an Reihe, um als angeblicher Absender von Mails mit falschen Rechnungen und einem Trojanischen Pferd herhalten zu müssen.

In dieser Woche werden täglich Spam-artig neue Mails mit vorgeblichen Rechnungen verbreitet. Gestern waren es noch Digitalkameras von Sunrise (wir berichteten), in den Tagen davor Rechnungen von 1&1 (wir berichteten) und der GEZ ( News ), heute ist es Neckermann, wie schon vor Weihnachten (wir berichteten). Wieder sollen die Mail-Empfänger angeblich eine Videosammlung im "Intimsalon" erworben haben.

Dass der falsche Neckermann-Shop dem Empfänger auch noch "schöne Feiertage" wünscht, weist darauf hin, dass der Mail-Text vom letzten Mal recycelt wurde. Der Betreff der Mails lautet "Vielen Dank fur Ihren Einkauf der Videosammlung!". Der Anhang trägt wieder den Dateinamen "empfangsschein.exe" und ist 8779 Bytes groß.

Wird dieses Trojanische Pferd gestartet, lädt es weitere Malware (1.exe) aus dem Internet herunter. Diese wird im Windows-Verzeichnis abgelegt und installiert ein BHO (Browser Helper Object) im Internet Explorer, das die Zugangsdaten für das Online-Banking abfangen soll. Es liegt als "ipv6monl.dll" im System32-Verzeichnis von Windows. Ferner sorgt die 1.exe durch Registry-Manipulationen vorsichtshalber dafür, dass der Internet Explorer aktiviert ist und durch die Windows Firewall nicht am Internet-Zugriff gehindert wird.

Erkennung durch Antivirus-Software:

Antivirus

empfangsschein.exe

1.exe

AntiVir

TR/Dldr.iBill.G.1

TR/iBill.G

Avast!

---

Win32:BZub-AU

AVG

---

---

Bitdefender

---

---

ClamAV

---

---

Command

W32/Downloader.gen10

---

Dr Web

---

---

eSafe

---

---

eTrust-INO

---

---

eTrust-VET

---

---

Ewido

---

---

F-Prot

W32/Downloader.gen10

---

F-Secure

W32/Nurech.AC

W32/BZub.HQ

Fortinet

---

---

Ikarus

Trojan-Downloader.Win32.Harnig.gen

Trojan-Spy.Win32.Goldun.lw

Kaspersky

---

---

McAfee

---

Spy-Agent.ba

Microsoft

---

---

Nod32

Win32/TrojanDownloader.Small.DYY trojan

Win32/Spy.BZub.NCP

Norman

---

---

Panda

---

---

QuickHeal

---

---

Rising

---

---

Sophos

Troj/DwnLdr-FZI

---

Symantec

---

---

Trend Micro

---

---

UNA

---

---

VBA32

Downloader.Harnig.39

MalwareScope.Trojan-Spy.BZub.3

VirusBuster

---

---

WebWasher

Trojan.Dldr.iBill.G.1

Trojan.iBill.G

GData AVK **

---

Win32:BZub-AU

Quelle: AV-Test (http://www.av-test.de), Stand: 26.01.2007, 11:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
170796