Neue UPS-Mails

Wieder falsche Paketdienst-Mails mit Malware

Dienstag den 15.07.2008 um 16:14 Uhr

von Frank Ziemann

Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.
Wenn Sie eine Mail vom Paketdienst UPS erhalten, aber kein Paket erwarten, seien Sie misstrauisch und öffnen Sie den Anhang der Mail nicht. Es steckt ein Trojanisches Pferd darin. Bereits in der letzten Woche waren solche Mails unterwegs , vorwiegend in der Schweiz. In dieser Woche gibt es nicht nur deutsche sondern auch englische Varianten dieser Mails, die mit der gefälschten Absenderangabe "UPS Packet Service" verschickt werden.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) oder "UPS Paket N1234567890" (englische Fassung). Darin heißt es, wie schon in der letzten Woche, ein am 1. Juli versandtes Paket habe nicht zugestellt werden können. Man möge doch den beiliegenden Lieferschein ausdrucken und ausfüllen, dann das Paket bei UPS abholen.

Der Anhang ist ein ZIP-Archiv namens "UPS_Lieferschein_8102.zip", in der englischen Fassung heißt es "ups_invoice.zip". Teilweise handelt es sich gar nicht um ZIP- sondern um RAR-Archive, was aber Entpackprogramme wie 7zip oder WinRAR nicht weiter stört. Die serienmäßige Entpackroutine von Windows XP und Vista scheitert jedoch daran und meldet eine defekte Datei. Das Archiv enthält eine 8192 Bytes große Datei namens "UPS_Lieferschein.exe", die in der englischen Fassung "ups_invoice.exe" heißt und völlig identisch ist.

Dabei handelt es sich um einen Trojan-Downloader, der weitere Malware aus dem Internet laden soll. Dazu kopiert er sich als "userini.exe" in das Verzeichnis \Windows\system32, kopiert die originale userinit.exe nach userini.exe und sich selbst nach userinit.exe. Das heißt, eine im Falle einer Infektion vorhandene userini.exe ist eine Kopie der zu Windows gehörenden userinit.exe. Die aus dem ZIP-Archiv stammende Dateikopie wird gelöscht.

Dann lädt der Downloader einen weiteren Schädling von einem Server mit russischer Domain, der jedoch offenbar wechselweise auf Zombie-PCs eines Botnets residiert. Von dort lädt er eine Datei namens "1.exe". Dies scheint ein weiterer Downloader zu sein. Außerdem landen im TEMP-Verzeichnis mehrere Dateien mit Namen wie "in2.tmp", "ie3.tmp, "ie4.tmp" und ähnlichen. Manche haben die Länge 0 Bytes, eine ist etwa 2 KB groß. Laut Beschreibung von Avira handelt es sich dabei ebenfalls um Malware. Inzwischen sind die Dateien nicht mehr verfügbar.

Der Schädling aus dem ZIP-Archiv wird inzwischen von den meisten Virenscannern erkannt.

Antivirus Malware-Name
AntiVir TR/Dldr.Tiny.brm
Avast! Win32:Tiny-UR [Trj]
AVG SHeur.BWIM (Trojan horse)
A-Squared ---
Bitdefender Trojan.Downloader.Gadja.C
CA-AV Win32/SillyDl.EUC
ClamAV Trojan.Agent-30547
Command AV W32/Trojan2.ATAB
Dr Web Trojan.DownLoad.1379
eSafe ---
Ewido Downloader.Obitel.a
F-Prot W32/Trojan2.ATAB
F-Secure Trojan-Downloader.Win32.Obitel.a
Fortinet W32/Agent.UP!tr.dldr
G-Data AVK Trojan-Downloader.Win32.Obitel.a
Ikarus Trojan-Downloader.Win32.Tiny.brm
Kaspersky Trojan-Downloader.Win32.Obitel.a
McAfee Generic Downloader.ab trojan
Microsoft Trojan:Win32/Agent.EE
Nod32 Win32/TrojanDownloader.Tiny.NDM trojan
Norman ---
Panda Trj/Agent.JEN
QuickHeal TrojanDownloader.Tiny.brm
Rising AV ---
Sophos Troj/Agent-HFU
Spybot S&D ---
Sunbelt ---
Symantec Downloader (Trojan Horse)*
Trend Micro TROJ_DLOADR.GG
VBA32 ---
VirusBuster ---
WebWasher Trojan.Dldr.Tiny.brm

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 15.07.08, 14:30 Uhr

Dienstag den 15.07.2008 um 16:14 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
76460