171628

Gefälschte Paypal-Mails mit Malware

05.08.2008 | 14:23 Uhr |

Es werden Spam-artig vorgeblich von Paypal stammende Mails verbreitet, die eine Abbuchung über mehrere tausend Euro bestätigen. Im Anhang der Mails steckt statt der Rechnung ein Trojanisches Pferd.

Auch im August setzt sich die wöchentliche Serie von Mails mit vorgeblichen Paypal-Lastschriften fort. In der letzten Woche gab es vorgebliche Bestätigungen einer Buchung von Flugtickets, in dieser Woche wird erst gar keine Zweckbestimmung der Abbuchung angegeben. Die Empfänger sollen den Anhang öffnen, der angeblich eine Rechnung enthalten soll, tatsächlich steckt jedoch ein Trojanisches Pferd darin.

Die Spam-artig verbreiteten Mails tragen einen Betreff wie "BITTE BEACHTEN - IHRE RECHNUNG N 12345678", "Lastschrift N 12345678", "Ihre Rechnung N 12345678" oder ähnliche, wobei die Nummern variieren. Im Text heißt es, der Lastschriftauftrag sei ausgeführt worden, es sei eine Summe um die 6000 Euro abgebucht worden. Die Details möge man der Rechnung im Anhang entnehmen.

Der Anhang besteht aus einem ZIP-Archiv, das stets "REC719271.zip" heißt und etwa 50 KB groß ist. Es enthält die in allen Fällen identische Datei "REC719271.exe". Dabei handelt es sich um ein Trojanisches Pferd, das ein Rootkit aus der "Wsnpoem"-Familie installiert. Die Erkennung des schädlichen Anhangs durch Antivirus-Programme weist noch einige Lücken auf.

Antivirus

Malware-Name

AntiVir

TR/Spy.ZBot.DPE

Avast!

---

AVG

---

A-Squared

---

Bitdefender

Trojan.Agent.AJLI

CA-AV

--- (Win32/Kollah.NC)*

ClamAV

Trojan.Zbot-1737

Command AV

W32/ZbotP.D

Dr Web

---

eSafe

---

Ewido

---

F-Prot

W32/Downldr2.DBRD

F-Secure

Trojan-Spy.Win32.Zbot.dqu

Fortinet

---

Fortinet (BETA)

W32/Agent.HJG!tr

G-Data AVK

Trojan-Spy.Win32.Zbot.dqu

Ikarus

Trojan.Agent.AJLI

Kaspersky

Trojan-Spy.Win32.Zbot.dqu

McAfee

Spy-Agent.bw.gen trojan

Microsoft

PWS:Win32/Zbot.gen!F

Nod32

Win32/Spy.Agent.NES trojan

Norman

---

Panda

--- (Trj/Sinowal.VQR)*

QuickHeal

---

Rising AV

---

Sophos

Troj/Agent-HJG

Spybot S&D

Worldsecurityonline.FakeAlert,Malware,Executable

Sunbelt

---

Symantec

--- (Trojan.Wsnpoem)*

Trend Micro

--- (TSPY_ZBOT.RD)*

VBA32

---

VirusBuster

---

WebWasher

Win32.NewMalware.PM!59904

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 05.08.08, 12:30 Uhr

0 Kommentare zu diesem Artikel
171628