30680

Malware: vorgebliche Rechnung von Ricardo

12.06.2007 | 09:42 Uhr |

Die Versender von Malware-Spam folgen weiter dem ausgetretenen, anscheinend jedoch weiterhin lohnenden Pfad des Versands vorgeblicher Rechnungen per Mail. Diesmal ist es die Auktionsplattform Ricardo, die als angeblicher Absender der Mails herhalten muss.

Es scheint sich immer noch eine ausreichende Zahl von Opfern finden zu lassen, um das bereits seit längerer Zeit praktizierte Schema vorgeblicher Rechnungs-Mails lukrativ zu halten. So haben die Malware-Spammer am Wochenende Nutzer der Schweizer Auktionsplattform Ricardo.ch ins Visier genommen,

Die Mails kommen mit einem Betreff wie "Ihre Rechnung bei Ricardo.ch" und enthalten eine vorgebliche Kontoübersicht sowie verschiedene Schreibfehler. Der nur 4 KB große Anhang ist eine EXE-Datei mit doppelter Endung und heißt "Rechnung_N31295882-OM.PDF.exe". Es handelt sich dabei um ein Trojanisches Pferd, das eine Datei "ldr.exe" von einem Server in Malaysia herunter lädt, die es als "winstart64.exe" im Windows-Verzeichnis ablegt und ausführt.

Der verseuchte Rechner enthält schließlich eine offene Hintertür, über die via Internet auf den PC zugegriffen werden kann, sowie Spionageprogramme zum Ausspähen von Anmeldedaten für das Online-Banking. Der PC wird Teil eines Botnets und kann zum Beispiel fremdgesteuert Spam verbreiten.

Erkennung durch Antivirus-Software:

Antivirus

rechnung.pdf.exe

ldr.exe

AntiVir

TR/Dldr.Nurech.BR

TR/Spy.Bancos.aam.241

A-Squared

---

---

Avast!

---

---

AVG

Downloader.Generic4.VSD

PSW.Banker3.OSZ

Bitdefender

Trojan.Clagger.AO

---

ClamAV

Trojan.Downloader-8619

---

Command AV

---

---

Dr Web

Trojan.DownLoader.23782

Trojan.Proxy.1823

eSafe

Win32.Nurech.br

Win32.Bancos.aam

eTrust

---

---

Ewido

Downloader.Nurech.br

---

F-Prot

---

---

F-Secure

Trojan-Downloader.Win32.Nurech.br

Trojan-Spy.Win32.Bancos.aam

Fortinet

W32/Dloader.BR!tr.dldr

suspicious

Ikarus

Trojan-Downloader.Win32.Nurech.br

Trojan-Spy.Win32.Bancos.aam

Kaspersky

Trojan-Downloader.Win32.Nurech.br

Trojan-Spy.Win32.Bancos.aam

McAfee

Generic Downloader.ab

PWS-Banker.gen.ad

Microsoft

---

---

Nod32

Win32/TrojanDownloader.Small.NVI

---

Norman

W32/DLoader.CWQA

W32/Bancos.PUP

Panda

Trj/Wsnpoem.DD

Trj/Wsnpoem.DD

QuickHeal

---

Suspicious

Rising AV

---

---

Sophos

Troj/Clagger-BC

---

Spybot S&D

---

Smitfraud-C.,,Executable

Symantec

Downloader

Infostealer.Banker.C

Trend Micro

TROJ_DLOADER.IUM

TSPY_BANCOS.DQW

VBA32

Trojan-Downloader.Win32.Nurech.br

---

VirusBuster

---

---

WebWasher

Trojan.Dldr.Nurech.BR

Trojan.Spy.Bancos.aam.241

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.br

Trojan-Spy.Win32.Bancos.aam


Quelle: AV-Test , Stand: 12.06.2007, 3 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
30680