229340

Grußkarten-Mails mit Malware

14.08.2008 | 15:24 Uhr |

Malware-Spammer gehen wieder mit vorgeblichen Grußkarten auf die Jagd nach neuen Opfern. Die Mails enthalten Download-Links für Trojanische Pferde, die auf gehackten Websites abgelegt sind.

Ob wohl diese Masche bereits seit einiger Zeit immer wieder verwendet wird, scheint sie weiterhin Erfolg zu versprechen. Allem Anschein nach fallen noch immer genug Empfänger vorgeblicher Grußkarten-Mails darauf herein. Der neueste Grußkarten-Spam kommt mit der Absenderangabe "greetingcard.org", die eine Herkunft von einem legitimen Dienst vortäuschen soll.

Die Mails kommen mit dem Betreff "You've received a greeting eCard" und fordern zum Download einer Datei namens "e-card.exe" auf. Anfangs nutzten die Malware-Spammer noch den Weiterleitungsdienst Ewerl.com, spätere Mail-Fassungen enthalten einen direkten Download-Link für die EXE-Datei. Dass diese Links auf eine deutsche Domain zeigen, mag die Akzeptanz zumindest für deutschsprachige Empfänger erhöhen, obwohl die Mails in englischer Sprache verfasst sind.

Die 317 KB große EXE-Datei ist ein Trojanisches Pferd. Es legt eine knapp 180 KB große Datei namens "inst2_290.exe" ab und installiert den Bildschirmschoner "Blue Screen" von Microsoft Sysinternals. Außerdem installiert es das betrügerische Pseudo-Schutzprogramm "Antivirus XP 2008". Dieses täuscht vor etliche Schädlinge gefunden zu haben, die es auf dem Rechner jedoch gar nicht gibt.

Die Erkennung des Schädlings durch aktuelle Antivirusprogramme ist inzwischen recht gut.

Antivirus

Malware-Name

AntiVir

TR/Drop.Delf.Crypt.K.10

Avast!

Win32:Agent-ABBH [Trj]

AVG

SHeur.CCBV (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Dropper.Delf.Crypt.K

CA-AV

Win32/Bugnraw.CZ

ClamAV

---

Command AV

W32/Downldr2.DIFZ

Dr Web

Trojan.MulDrop.18308

eSafe

---

Ewido

---

F-Prot

W32/Downldr2.DIFZ

F-Secure

Trojan-Downloader.Win32.Small.aaww

Fortinet

W32/Meredr!tr

G-Data AVK

Trojan-Downloader.Win32.Small.aaww

Ikarus

Trojan-Downloader.Delf.OAQ

Kaspersky

Trojan-Downloader.Win32.Small.aaww

McAfee

Puper.dr trojan

Microsoft

TrojanDropper:Win32/Rooter.A

Nod32

Win32/TrojanDropper.Agent.NMR trojan

Norman

---

Panda

--- (W32/Nuwar.YG.worm)

QuickHeal

---

Rising AV

---

Sophos

Troj/Meredr-Gen

Spybot S&D

---

Sunbelt

Trojan.Dropper.Delf.Crypt.K

Symantec

Trojan.Blusod

Trend Micro

TROJ_RENOS.AGU

VBA32

---

VirusBuster

Trojan.Delfinject.Gen.5

WebWasher

Trojan.Drop.Delf.Crypt.K.10

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 14.08.2008, 12 Uhr

0 Kommentare zu diesem Artikel
229340