Neue BKA-Mails und vorgebliche Rechnungen
Die Wellen gefälschter Rechnungs-Mails sowie vorgeblich vom Bundeskriminalamt kommender Mails bezüglich angeblicher Ermittlungsverfahren reißen nicht ab.
Auch am Wochenende sind weitere Mails verbreitet worden, die wiederum vorgeben Rechnungen des Providers 1&1 zu enthalten. Auch das Bundeskriminalamt (BKA) muss erneut als vermeintlicher Absender von Mails herhalten, in denen die Empfänger über ein angeblich gegen sie eingeleitetes Ermittlungsverfahren wegen illegaler Downloads informiert werden.
Die neueren BKA-Mails entsprechen in Aufmachung und Inhalt weitgehend den ersten Exemplaren (wir berichteten). Im Unterschied zu diesen werden die Anhänge jedoch nicht direkt als EXE-Dateien verschickt. Vielmehr sind sie zusätzlich in ein ZIP-Archiv mit einem Dateinamen wie "Akte48481.zip" (die Nummer variiert) verpackt. Diese enthalten dann stets eine Datei "Akte.pdf.exe", die ein Trojanisches Pferd darstellt.
Wird dieser Schädling gestartet, lädt er weitere Malware aus dem Internet herunter. Dabei benutzt er Web-Server, die bereits in früheren Mail-Kampagnen ähnlicher Machart als Download-Server für zusätzliche Schädlinge gedient haben. Aufgabe der herunter geladenen Malware ist es, den Rechner in eine Spam-Schleuder zu verwandeln.
Erkennung des Mail-Anhangs duch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.iBill.K |
| Avast! | Win32:BZub-CE [Trj] |
| AVG | Downloader.Agent.ING |
| Bitdefender | Trojan.Downloader.Agent.ANN |
| ClamAV | Trojan.Downloader-909 |
| Command | W32/Document-disguised-based!Maximus |
| Dr Web | DLOADER.Trojan |
| eSafe | --- |
| eTrust-INO | Win32/Clagger.BJ |
| eTrust-VET | Win32/Clagger.BJ |
| Ewido | --- |
| F-Prot | W32/Document-disguised-based!Maximus |
| F-Secure | Trojan-Downloader.Win32.Agent.ann |
| Fortinet | W32/Yabe.X!tr.dldr |
| Ikarus | Trojan-Downloader.Win32.Nurech.ad |
| Kaspersky | Trojan-Downloader.Win32.Agent.ann |
| McAfee | --- (Downloader-AAP)* |
| Microsoft | --- |
| Nod32 | Win32/TrojanDownloader.Nurech.G |
| Norman | W32/Agent.AZTC |
| Panda | --- (Trj/Downloader.MRC)* |
| QuickHeal | TrojanDownloader.Agent.ann |
| Rising | --- |
| Sophos | Troj/Clagger-AU |
| Symantec | Downloader |
| Trend Micro | TROJ_YABE.BJ |
| UNA | --- |
| VBA32 | Trojan-Downloader.Win32.Agent.ann |
| VirusBuster | Trojan.DL.Nurech.AN |
| WebWasher | Trojan.Dldr.iBill.K |
| GData AVK ** | Trojan-Downloader.Win32.Agent.ann |
Quelle: AV-Test, Stand: 05.02.2007, 15:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
