250327

Malware verspricht kostenlose Videoplayer-Software

12.02.2007 | 16:17 Uhr |

Eine weitere Mail, die heute massenhaft in deutschen Mailboxen auftaucht, kommt vorgeblich von einer "Firma Earth-Cam" und verheißt eine kostenlose Videoplayer-Software für intime Einblicke.

Die Mails kommen mit einem länglichen Betreff wie "Die Revolution im Netz des lebhaften Video. Sehe was du willst und wo du willst, frei!". Der Text verspricht in vor Fehler nur so strotzendem Deutsch den Zugang zu 80.000 Web-Cams mit Live-Bildern aus aller Welt.

Im Mail-Text ist von einer zeitlich begrenzten Werbe-Aktion die Rede, in deren Rahmen die Empfänger die Software kostenlos herunter laden können. Später solle das dann ab 300 Euro aufwärts kosten. Im Anhang der Mails findet sich dann das angebliche Installationsprogramm als "ecplayer.exe" (6881 Bytes), ein Trojanisches Pferd.

Wird das Programm gestartet, lädt es tatsächlich etwas herunter - zwei weitere Schädlinge, die gleich installiert werden. Da wäre zunächst ein BHO (Browser Helper Object) namens "ipv6monl.dll", das im System32-Verzeichnis von Windows landet und Zugangsdaten zum Online-Banking ausspionieren soll. Der andere Schädling enthält ein Rootkit, das einen Bot zum Aufbau eines Botnets tarnen soll. Damit wird dann massenhaft Spam verschickt.

Erkennung des "ecplayers" durch Virenscanner:

Antivirus

Malware-Name

AntiVir

TR/Dldr.Nurech.AK

Avast!

---

AVG

---

Bitdefender

Generic.Malware.dld!!.C5E08F54

ClamAV

---

Command

W32/Downloader.gen9

Dr Web

---

eSafe

---

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

W32/Downloader.gen9

F-Secure

Trojan-Downloader.Win32.Nurech.ak

Fortinet

--- (W32/ATM!tr.dldr)*

Ikarus

Win32.Outbreak

Kaspersky

Trojan-Downloader.Win32.Nurech.ak

McAfee

Downloader-ATM.gen trojan

Microsoft

TrojanDownloader:Win32/Nurech.gen!A

Nod32

Win32/TrojanDownloader.Nurech.AB trojan

Norman

---

Panda

---

QuickHeal

---

Rising

---

Sophos

---

Symantec

--- (Downloader)

Trend Micro

---

UNA

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Dldr.Nurech.AK

GData AVK **

Trojan-Downloader.Win32.Nurech.ak


Quelle: AV-Test , Stand: 12.02.2007, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
250327