Schädliche Grüße
Grußkarten-Mails mit Malware
Malware-Spammer gehen wieder mit vorgeblichen Grußkarten auf die Jagd nach neuen Opfern. Die Mails enthalten Download-Links für Trojanische Pferde, die auf gehackten Websites abgelegt sind.
Ob wohl diese Masche bereits seit einiger Zeit immer wieder verwendet wird, scheint sie weiterhin Erfolg zu versprechen. Allem Anschein nach fallen noch immer genug Empfänger vorgeblicher Grußkarten-Mails darauf herein. Der neueste Grußkarten-Spam kommt mit der Absenderangabe "greetingcard.org", die eine Herkunft von einem legitimen Dienst vortäuschen soll.
Die Mails kommen mit dem Betreff "You've received a greeting eCard" und fordern zum Download einer Datei namens "e-card.exe" auf. Anfangs nutzten die Malware-Spammer noch den Weiterleitungsdienst Ewerl.com, spätere Mail-Fassungen enthalten einen direkten Download-Link für die EXE-Datei. Dass diese Links auf eine deutsche Domain zeigen, mag die Akzeptanz zumindest für deutschsprachige Empfänger erhöhen, obwohl die Mails in englischer Sprache verfasst sind.
Die 317 KB große EXE-Datei ist ein Trojanisches Pferd. Es legt eine knapp 180 KB große Datei namens "inst2_290.exe" ab und installiert den Bildschirmschoner "Blue Screen" von Microsoft Sysinternals. Außerdem installiert es das betrügerische Pseudo-Schutzprogramm "Antivirus XP 2008". Dieses täuscht vor etliche Schädlinge gefunden zu haben, die es auf dem Rechner jedoch gar nicht gibt.
Die Erkennung des Schädlings durch aktuelle Antivirusprogramme ist inzwischen recht gut.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Drop.Delf.Crypt.K.10 |
| Avast! | Win32:Agent-ABBH [Trj] |
| AVG | SHeur.CCBV (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Dropper.Delf.Crypt.K |
| CA-AV | Win32/Bugnraw.CZ |
| ClamAV | --- |
| Command AV | W32/Downldr2.DIFZ |
| Dr Web | Trojan.MulDrop.18308 |
| eSafe | --- |
| Ewido | --- |
| F-Prot | W32/Downldr2.DIFZ |
| F-Secure | Trojan-Downloader.Win32.Small.aaww |
| Fortinet | W32/Meredr!tr |
| G-Data AVK | Trojan-Downloader.Win32.Small.aaww |
| Ikarus | Trojan-Downloader.Delf.OAQ |
| Kaspersky | Trojan-Downloader.Win32.Small.aaww |
| McAfee | Puper.dr trojan |
| Microsoft | TrojanDropper:Win32/Rooter.A |
| Nod32 | Win32/TrojanDropper.Agent.NMR trojan |
| Norman | --- |
| Panda | --- (W32/Nuwar.YG.worm) |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/Meredr-Gen |
| Spybot S&D | --- |
| Sunbelt | Trojan.Dropper.Delf.Crypt.K |
| Symantec | Trojan.Blusod |
| Trend Micro | TROJ_RENOS.AGU |
| VBA32 | --- |
| VirusBuster | Trojan.Delfinject.Gen.5 |
| WebWasher | Trojan.Drop.Delf.Crypt.K.10 |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 14.08.2008, 12 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 14.08.2008, 12 Uhr
