Neue UPS-Mails

Wieder falsche Paketdienst-Mails mit Malware

Dienstag den 15.07.2008 um 16:14 Uhr

von Frank Ziemann

Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.
Wenn Sie eine Mail vom Paketdienst UPS erhalten, aber kein Paket erwarten, seien Sie misstrauisch und öffnen Sie den Anhang der Mail nicht. Es steckt ein Trojanisches Pferd darin. Bereits in der letzten Woche waren solche Mails unterwegs , vorwiegend in der Schweiz. In dieser Woche gibt es nicht nur deutsche sondern auch englische Varianten dieser Mails, die mit der gefälschten Absenderangabe "UPS Packet Service" verschickt werden.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) oder "UPS Paket N1234567890" (englische Fassung). Darin heißt es, wie schon in der letzten Woche, ein am 1. Juli versandtes Paket habe nicht zugestellt werden können. Man möge doch den beiliegenden Lieferschein ausdrucken und ausfüllen, dann das Paket bei UPS abholen.

Der Anhang ist ein ZIP-Archiv namens "UPS_Lieferschein_8102.zip", in der englischen Fassung heißt es "ups_invoice.zip". Teilweise handelt es sich gar nicht um ZIP- sondern um RAR-Archive, was aber Entpackprogramme wie 7zip oder WinRAR nicht weiter stört. Die serienmäßige Entpackroutine von Windows XP und Vista scheitert jedoch daran und meldet eine defekte Datei. Das Archiv enthält eine 8192 Bytes große Datei namens "UPS_Lieferschein.exe", die in der englischen Fassung "ups_invoice.exe" heißt und völlig identisch ist.

Dabei handelt es sich um einen Trojan-Downloader, der weitere Malware aus dem Internet laden soll. Dazu kopiert er sich als "userini.exe" in das Verzeichnis \Windows\system32, kopiert die originale userinit.exe nach userini.exe und sich selbst nach userinit.exe. Das heißt, eine im Falle einer Infektion vorhandene userini.exe ist eine Kopie der zu Windows gehörenden userinit.exe. Die aus dem ZIP-Archiv stammende Dateikopie wird gelöscht.

Dann lädt der Downloader einen weiteren Schädling von einem Server mit russischer Domain, der jedoch offenbar wechselweise auf Zombie-PCs eines Botnets residiert. Von dort lädt er eine Datei namens "1.exe". Dies scheint ein weiterer Downloader zu sein. Außerdem landen im TEMP-Verzeichnis mehrere Dateien mit Namen wie "in2.tmp", "ie3.tmp, "ie4.tmp" und ähnlichen. Manche haben die Länge 0 Bytes, eine ist etwa 2 KB groß. Laut Beschreibung von Avira handelt es sich dabei ebenfalls um Malware. Inzwischen sind die Dateien nicht mehr verfügbar.

Der Schädling aus dem ZIP-Archiv wird inzwischen von den meisten Virenscannern erkannt.

Antivirus
Malware-Name
AntiVir
TR/Dldr.Tiny.brm
Avast!
Win32:Tiny-UR [Trj]
AVG
SHeur.BWIM (Trojan horse)
A-Squared
---
Bitdefender
Trojan.Downloader.Gadja.C
CA-AV
Win32/SillyDl.EUC
ClamAV
Trojan.Agent-30547
Command AV
W32/Trojan2.ATAB
Dr Web
Trojan.DownLoad.1379
eSafe
---
Ewido
Downloader.Obitel.a
F-Prot
W32/Trojan2.ATAB
F-Secure
Trojan-Downloader.Win32.Obitel.a
Fortinet
W32/Agent.UP!tr.dldr
G-Data AVK
Trojan-Downloader.Win32.Obitel.a
Ikarus
Trojan-Downloader.Win32.Tiny.brm
Kaspersky
Trojan-Downloader.Win32.Obitel.a
McAfee
Generic Downloader.ab trojan
Microsoft
Trojan:Win32/Agent.EE
Nod32
Win32/TrojanDownloader.Tiny.NDM trojan
Norman
---
Panda
Trj/Agent.JEN
QuickHeal
TrojanDownloader.Tiny.brm
Rising AV
---
Sophos
Troj/Agent-HFU
Spybot S&D
---
Sunbelt
---
Symantec
Downloader (Trojan Horse)*
Trend Micro
TROJ_DLOADR.GG
VBA32
---
VirusBuster
---
WebWasher
Trojan.Dldr.Tiny.brm

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 15.07.08, 14:30 Uhr

Dienstag den 15.07.2008 um 16:14 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
76460