31628

Opodo und Telekom: Neue Trojanische Pferde unterwegs

11.08.2005 | 09:00 Uhr |

Mails mit Trojanischem Pferd: Nach dem Otto-Versand ist nun das Online-Reisebüro Opodo an der Reihe.

Die seit Monaten bekannten vorgeblichen Telekom-Rechnungen sind wieder unterwegs. Ebenso werden Mails verbreitet, die vermeintlich vom Online-Reisebüro Opodo.de kommen. Anfang der letzten Woche musste der Otto-Versand als Türöffner herhalten ( wir berichteten ).

Die vorgebliche Opodo-Mail bestätigt dem zweifellos überraschten Empfänger, dass seine bestellten Flug-Tickets zum Preis von 759.99 Euro bereits versandt wurden. Er möge doch die beigefügte Rechnung umgehend begleichen. Die vermeintliche Mail der T-Com präsentiert eine Telefonrechnung für Mai 2005, mit unterschiedlichen Summen, aber jeweils über mehrere hundert Euro. Bei beiden Mails ist der Anhang identisch. Bei Opodo heißt er "rechnung.pdf.exe", bei den T-Com-Mails "T-com-Rechnung.pdf.exe".

Diese Dateien laden, wenn sie geöffnet, also ausgeführt werden, weitere Schädlinge aus dem Internet herunter und installieren sie. Dazu enthalten sie eine Liste von URLs, aus der jedoch nur sechs auf drei Websites funktionieren. Von dort holt der Downloader Dateien mit den Namen "2.exe" und "3.exe", die meisten davon mit einer Größe von 26.112 Bytes.

Derzeit erkennt kein Virenscanner alle diese Dateien. Den Mail-Anhang erkennen nur McAfee mit einem generischen Treiber ("Downloader-ACS"), weil die Datei früheren Varianten ähnelt, sowie Clam-AV als "Trojan.Downloader.Small-674". Bei den anderen Schädlingen sieht es auch nicht besser aus: mal erkennt Trend Micro wie auch NOD32 eine "Dumador"-Variante (die bei Etrust/VET "Win32.Bambo" heißt), mal einen "Finaldo.B", bei dem NOD32 passen muss. Bitdefender meint in einer Datei eine "Bagle"-Variante zu erkennen, die Kaspersky als "Trojan-Clicker.Win32.Agent.ek" bezeichnet und Panda als "Trj/Clicker.IK". Bei Antivir, AVG, Command AV, Dr Web, Norman, Sophos und Symantec rührt sich bei dieser Stichprobe (trotz aktueller Updates) gar nichts. Insgesamt ergibt sich ein Bild, das illustriert, wie unvollkommen die Virenerkennung mittels Signaturen und generischen Mustern im Grunde immer noch ist.

Einige Befunde wie "suspicious" (verdächtig), "Malicious" (bösartig), "Suspect File" (verdächtige Datei), "BehavesLike:Trojan.Downloader (suspected)" (sinngemäß: verhält sich verdächtig wie ein Trojan-Downloader), "NewHeur_PE (probably unknown virus)" oder "New Poly (virus or variant)" weisen auf fortschrittlichere Methoden einiger Hersteller hin.

Die nachgeladenen Schädlinge sind jedenfalls eine bunte Mischung aus Adware, Backdoors und Key-Loggern. Erste nächtliche Updates weisen darauf hin, dass die meisten Antivirus-Hersteller im Laufe des Tages Updates bereitstellen werden, die eine Erkennung der Schädlinge ermöglichen - das wird jedoch für einige zu spät kommen.

0 Kommentare zu diesem Artikel
31628