Neue UPS-Mails
Wieder falsche Paketdienst-Mails mit Malware
Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.
Wenn Sie eine Mail vom Paketdienst UPS erhalten, aber kein Paket erwarten, seien Sie misstrauisch und öffnen Sie den Anhang der Mail nicht. Es steckt ein Trojanisches Pferd darin. Bereits in der letzten Woche waren solche Mails unterwegs, vorwiegend in der Schweiz. In dieser Woche gibt es nicht nur deutsche sondern auch englische Varianten dieser Mails, die mit der gefälschten Absenderangabe "UPS Packet Service" verschickt werden.
Die Spam-artig verbreiteten Mails tragen einen Betreff wie "Ihr UPS Paket N1234567890" (die Ziffern variieren) oder "UPS Paket N1234567890" (englische Fassung). Darin heißt es, wie schon in der letzten Woche, ein am 1. Juli versandtes Paket habe nicht zugestellt werden können. Man möge doch den beiliegenden Lieferschein ausdrucken und ausfüllen, dann das Paket bei UPS abholen.
Der Anhang ist ein ZIP-Archiv namens "UPS_Lieferschein_8102.zip", in der englischen Fassung heißt es "ups_invoice.zip". Teilweise handelt es sich gar nicht um ZIP- sondern um RAR-Archive, was aber Entpackprogramme wie 7zip oder WinRAR nicht weiter stört. Die serienmäßige Entpackroutine von Windows XP und Vista scheitert jedoch daran und meldet eine defekte Datei. Das Archiv enthält eine 8192 Bytes große Datei namens "UPS_Lieferschein.exe", die in der englischen Fassung "ups_invoice.exe" heißt und völlig identisch ist.
Dabei handelt es sich um einen Trojan-Downloader, der weitere Malware aus dem Internet laden soll. Dazu kopiert er sich als "userini.exe" in das Verzeichnis \Windows\system32, kopiert die originale userinit.exe nach userini.exe und sich selbst nach userinit.exe. Das heißt, eine im Falle einer Infektion vorhandene userini.exe ist eine Kopie der zu Windows gehörenden userinit.exe. Die aus dem ZIP-Archiv stammende Dateikopie wird gelöscht.
Dann lädt der Downloader einen weiteren Schädling von einem Server mit russischer Domain, der jedoch offenbar wechselweise auf Zombie-PCs eines Botnets residiert. Von dort lädt er eine Datei namens "1.exe". Dies scheint ein weiterer Downloader zu sein. Außerdem landen im TEMP-Verzeichnis mehrere Dateien mit Namen wie "in2.tmp", "ie3.tmp, "ie4.tmp" und ähnlichen. Manche haben die Länge 0 Bytes, eine ist etwa 2 KB groß. Laut Beschreibung von Avira handelt es sich dabei ebenfalls um Malware. Inzwischen sind die Dateien nicht mehr verfügbar.
Der Schädling aus dem ZIP-Archiv wird inzwischen von den meisten Virenscannern erkannt.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.Tiny.brm |
| Avast! | Win32:Tiny-UR [Trj] |
| AVG | SHeur.BWIM (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Downloader.Gadja.C |
| CA-AV | Win32/SillyDl.EUC |
| ClamAV | Trojan.Agent-30547 |
| Command AV | W32/Trojan2.ATAB |
| Dr Web | Trojan.DownLoad.1379 |
| eSafe | --- |
| Ewido | Downloader.Obitel.a |
| F-Prot | W32/Trojan2.ATAB |
| F-Secure | Trojan-Downloader.Win32.Obitel.a |
| Fortinet | W32/Agent.UP!tr.dldr |
| G-Data AVK | Trojan-Downloader.Win32.Obitel.a |
| Ikarus | Trojan-Downloader.Win32.Tiny.brm |
| Kaspersky | Trojan-Downloader.Win32.Obitel.a |
| McAfee | Generic Downloader.ab trojan |
| Microsoft | Trojan:Win32/Agent.EE |
| Nod32 | Win32/TrojanDownloader.Tiny.NDM trojan |
| Norman | --- |
| Panda | Trj/Agent.JEN |
| QuickHeal | TrojanDownloader.Tiny.brm |
| Rising AV | --- |
| Sophos | Troj/Agent-HFU |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Downloader (Trojan Horse)* |
| Trend Micro | TROJ_DLOADR.GG |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Dldr.Tiny.brm |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 15.07.08, 14:30 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 15.07.08, 14:30 Uhr
