05.08.2008, 14:23

Frank Ziemann

Trojanische Lastschrift

Gefälschte Paypal-Mails mit Malware

Es werden Spam-artig vorgeblich von Paypal stammende Mails verbreitet, die eine Abbuchung über mehrere tausend Euro bestätigen. Im Anhang der Mails steckt statt der Rechnung ein Trojanisches Pferd.

Auch im August setzt sich die wöchentliche Serie von Mails mit vorgeblichen Paypal-Lastschriften fort. In der letzten Woche gab es vorgebliche Bestätigungen einer Buchung von Flugtickets, in dieser Woche wird erst gar keine Zweckbestimmung der Abbuchung angegeben. Die Empfänger sollen den Anhang öffnen, der angeblich eine Rechnung enthalten soll, tatsächlich steckt jedoch ein Trojanisches Pferd darin.
Die Spam-artig verbreiteten Mails tragen einen Betreff wie "BITTE BEACHTEN - IHRE RECHNUNG N 12345678", "Lastschrift N 12345678", "Ihre Rechnung N 12345678" oder ähnliche, wobei die Nummern variieren. Im Text heißt es, der Lastschriftauftrag sei ausgeführt worden, es sei eine Summe um die 6000 Euro abgebucht worden. Die Details möge man der Rechnung im Anhang entnehmen.
Der Anhang besteht aus einem ZIP-Archiv, das stets "REC719271.zip" heißt und etwa 50 KB groß ist. Es enthält die in allen Fällen identische Datei "REC719271.exe". Dabei handelt es sich um ein Trojanisches Pferd, das ein Rootkit aus der "Wsnpoem"-Familie installiert. Die Erkennung des schädlichen Anhangs durch Antivirus-Programme weist noch einige Lücken auf.
Antivirus Malware-Name
AntiVir TR/Spy.ZBot.DPE
Avast! ---
AVG ---
A-Squared ---
Bitdefender Trojan.Agent.AJLI
CA-AV --- (Win32/Kollah.NC)*
ClamAV Trojan.Zbot-1737
Command AV W32/ZbotP.D
Dr Web ---
eSafe ---
Ewido ---
F-Prot W32/Downldr2.DBRD
F-Secure Trojan-Spy.Win32.Zbot.dqu
Fortinet ---
Fortinet (BETA) W32/Agent.HJG!tr
G-Data AVK Trojan-Spy.Win32.Zbot.dqu
Ikarus Trojan.Agent.AJLI
Kaspersky Trojan-Spy.Win32.Zbot.dqu
McAfee Spy-Agent.bw.gen trojan
Microsoft PWS:Win32/Zbot.gen!F
Nod32 Win32/Spy.Agent.NES trojan
Norman ---
Panda --- (Trj/Sinowal.VQR)*
QuickHeal ---
Rising AV ---
Sophos Troj/Agent-HJG
Spybot S&D Worldsecurityonline.FakeAlert,Malware,Executable
Sunbelt ---
Symantec --- (Trojan.Wsnpoem)*
Trend Micro --- (TSPY_ZBOT.RD)*
VBA32 ---
VirusBuster ---
WebWasher Win32.NewMalware.PM!59904
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 05.08.08, 12:30 Uhr
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
171628
Content Management by InterRed