76460

Wieder falsche Paketdienst-Mails mit Malware

15.07.2008 | 16:14 Uhr |

Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.

Wenn Sie eine Mail vom Paketdienst UPS erhalten, aber kein Paket erwarten, seien Sie misstrauisch und öffnen Sie den Anhang der Mail nicht. Es steckt ein Trojanisches Pferd darin. Bereits in der letzten Woche waren solche Mails unterwegs , vorwiegend in der Schweiz. In dieser Woche gibt es nicht nur deutsche sondern auch englische Varianten dieser Mails, die mit der gefälschten Absenderangabe "UPS Packet Service" verschickt werden.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) oder "UPS Paket N1234567890" (englische Fassung). Darin heißt es, wie schon in der letzten Woche, ein am 1. Juli versandtes Paket habe nicht zugestellt werden können. Man möge doch den beiliegenden Lieferschein ausdrucken und ausfüllen, dann das Paket bei UPS abholen.

Der Anhang ist ein ZIP-Archiv namens "UPS_Lieferschein_8102.zip", in der englischen Fassung heißt es "ups_invoice.zip". Teilweise handelt es sich gar nicht um ZIP- sondern um RAR-Archive, was aber Entpackprogramme wie 7zip oder WinRAR nicht weiter stört. Die serienmäßige Entpackroutine von Windows XP und Vista scheitert jedoch daran und meldet eine defekte Datei. Das Archiv enthält eine 8192 Bytes große Datei namens "UPS_Lieferschein.exe", die in der englischen Fassung "ups_invoice.exe" heißt und völlig identisch ist.

Dabei handelt es sich um einen Trojan-Downloader, der weitere Malware aus dem Internet laden soll. Dazu kopiert er sich als "userini.exe" in das Verzeichnis \Windows\system32, kopiert die originale userinit.exe nach userini.exe und sich selbst nach userinit.exe. Das heißt, eine im Falle einer Infektion vorhandene userini.exe ist eine Kopie der zu Windows gehörenden userinit.exe. Die aus dem ZIP-Archiv stammende Dateikopie wird gelöscht.

Dann lädt der Downloader einen weiteren Schädling von einem Server mit russischer Domain, der jedoch offenbar wechselweise auf Zombie-PCs eines Botnets residiert. Von dort lädt er eine Datei namens "1.exe". Dies scheint ein weiterer Downloader zu sein. Außerdem landen im TEMP-Verzeichnis mehrere Dateien mit Namen wie "in2.tmp", "ie3.tmp, "ie4.tmp" und ähnlichen. Manche haben die Länge 0 Bytes, eine ist etwa 2 KB groß. Laut Beschreibung von Avira handelt es sich dabei ebenfalls um Malware. Inzwischen sind die Dateien nicht mehr verfügbar.

Der Schädling aus dem ZIP-Archiv wird inzwischen von den meisten Virenscannern erkannt.

Antivirus

Malware-Name

AntiVir

TR/Dldr.Tiny.brm

Avast!

Win32:Tiny-UR [Trj]

AVG

SHeur.BWIM (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Downloader.Gadja.C

CA-AV

Win32/SillyDl.EUC

ClamAV

Trojan.Agent-30547

Command AV

W32/Trojan2.ATAB

Dr Web

Trojan.DownLoad.1379

eSafe

---

Ewido

Downloader.Obitel.a

F-Prot

W32/Trojan2.ATAB

F-Secure

Trojan-Downloader.Win32.Obitel.a

Fortinet

W32/Agent.UP!tr.dldr

G-Data AVK

Trojan-Downloader.Win32.Obitel.a

Ikarus

Trojan-Downloader.Win32.Tiny.brm

Kaspersky

Trojan-Downloader.Win32.Obitel.a

McAfee

Generic Downloader.ab trojan

Microsoft

Trojan:Win32/Agent.EE

Nod32

Win32/TrojanDownloader.Tiny.NDM trojan

Norman

---

Panda

Trj/Agent.JEN

QuickHeal

TrojanDownloader.Tiny.brm

Rising AV

---

Sophos

Troj/Agent-HFU

Spybot S&D

---

Sunbelt

---

Symantec

Downloader (Trojan Horse)*

Trend Micro

TROJ_DLOADR.GG

VBA32

---

VirusBuster

---

WebWasher

Trojan.Dldr.Tiny.brm

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 15.07.08, 14:30 Uhr

0 Kommentare zu diesem Artikel
76460