252845

Neue GEZ-Rechnungen mit Malware an Bord

13.02.2007 | 08:39 Uhr |

Die Wellen Spam-artig verschickter Trojanischer Pferde wollen kein Ende nehmen. Zwischendurch ist mal wieder die GEZ an der Reihe, ihren Namen als Türöffner für Malware hergeben zu müssen.

Neben den vorgeblichen Rechnungen von TMS Logistik und der vermeintlichen Videoplayer-Software sind am Montag auch wieder Mails verbreitet worden, die vorgebliche Rechnungen der Gebühreneinzugszentrale (GEZ) enthalten. Wenn es nicht offenbar immer noch Menschen gäbe, die darauf herein fallen, würde es mit der Zeit langweilig.

Die aktuellen Mails gleichen oberflächlich den früheren, es gibt jedoch ein paar Abweichungen. Offenkundig haben die Versender diesmal Probleme mit der Umsetzung asiatischer oder osteuropäischer Zeichensätze, denn die Dateinamen der Mail-Anhänge muten seltsam an. Beim Betreff, etwa "Ihre aktuelle Gebuehreneinzugszentrale (GEZ) Rechnung", klappt es noch. Die angehängte ZIP-Datei trägt jedoch einen Namen wie "Rechnung_unYH12fi16in.zip", ist kein ZIP- sondern ein RAR-Archiv und enthält eine Datei namens "Rechnungu6dDenfi32in.pdf.exe" (statt wie üblich "rechnung.pdf.exe"). Womöglich ist das aber auch Verwirrungstaktik gegenüber einfach gestrickten Mail-Filtern.

Wird der Anhang entpackt und die EXE-Datei gestartet, lädt diese einen weiteren Schädling mit dem Dateinamen "temp.exe" von einem Server mit britischem Domain-Namen herunter. Dieser installiert ein Rootkit sowie eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows und klinkt diese als Browser Helper Object (BHO) im Internet Explorer ein. Damit sollen Zugangsdaten für das Online-Banking ausspioniert werden.

Antivirus

rechnung.pdf.exe

temp.exe

AntiVir

HEUR/Malware

TR/iBill.E.1

Avast!

Win32:Agent-ENU

Win32:Agent-ENV

AVG

---

Generic3.AC

Bitdefender

---

Trojan.Spy.Goldun.HO

ClamAV

Trojan.Downloader-1334

Trojan.Spy-734

Command AV

W32/Downloader.gen2

W32/Trojan.XUM

Dr Web

---

Trojan.MulDrop.5541

eSafe

Trojan/Worm [100]

Win32.Agent.aeq

eTrust-INO

---

---

eTrust-VET

---

---

Ewido

---

Win32.Agent.aeq

F-Prot

W32/Downloader.gen2

W32/Trojan.XUM

F-Secure

Trojan-Downloader.Win32.Nurech.am

Trojan.Win32.Agent.aeq

Fortinet

---

W32/Deldo.AEQ!tr

Ikarus

Win32.Outbreak

Trojan-Proxy.Win32.Delf.cc

Kaspersky

Trojan-Downloader.Win32.Nurech.am

Trojan.Win32.Agent.aeq

McAfee

--- (Downloader-AAP.gen)*

---

Microsoft

---

---

Nod32

---

Win32/Spy.BZub.NCU

Norman

W32/BZub.OG

W32/Malware.JRO

Panda

Suspicious file (Trj/Abwiz.BX)*

Trj/Abwiz.BX

QuickHeal

Suspicious (warning)

---

Rising AV

---

---

Sophos

Mal/Clagger-A

Troj/Deldo-Gen

Symantec

Downloader

---

Trend Micro

--- (TROJ_YABE.BO)*

TSPY_BZUB.GU

UNA

---

---

VBA32

---

Trojan.Win32.Spy.BZub.NCU

VirusBuster

---

Trojan.Agent.SCC

WebWasher

Heuristic.Malware

Trojan.iBill.E.1

GData AVK **

Trojan-Downloader.Win32.Nurech.am

Trojan.Win32.Agent.aeq


Quelle: AV-Test , Stand: 13.02.2007, 4 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
252845