38408

Malware-Spam droht mit Mail-Sperre

02.12.2008 | 13:43 Uhr |

Seit gestern Abend rollt eine neue Spam-Welle durch Deutschland, die den Empfängern mit der Sperre ihrer Mail-Adresse droht. Im Anhang der Mails steckt ein Trojanisches Pferd.

Deutschsprachige Malware-Spammer scheinen sich in letzter Zeit darauf verlegt zu haben die Empfänger mit Drohungen zum Öffnen der Anhänge zu verleiten. Seit gestern Abend schwappt eine neue Flut von Mails in die Mailboxen, in denen mit der Sperrung der Mail-Adresse gedroht wird. In der letzten Woche wurden zum wiederholten Male vorgebliche eBay-Abmahnungen als Köder benutzt. Die Mails enthalten jeweils einen Anhang, in dem ein Trojanisches Pferd steckt.

Die Mails tragen einen Betreff wie "Die E-Mail Adresse ... wird gesperrt" oder "Sperrung der E-Mail ...", wobei die jeweilige Zieladresse der Mails im Betreff enthalten ist. Im Text heißt es, es lägen etliche Beschwerden wegen Spam-Versands vor, es wird eine variierende Anzahl genannt. Die Adresse würde deshalb innerhalb der nächsten 24 Stunden gesperrt. Details und mögliche Schritte zur Entsperrung seien im Anhang zu finden.

Der Anhang besteht aus einem ZIP-Archiv mit Dateinamen wie "Sperrung.zip" oder "Hinweis.zip" und enthält entweder eine 81 KB große Datei "Sperrung.exe" oder eine etwas halb so große "Hinweis.exe". Beide tragen ein Dateidatum aus der Zukunft, den 1.12.2009. Es handelt sich hierbei um Trojanische Pferde, die Kontakt mit einem Server in China aufnehmen. Dazu injizieren sie Code in den laufenden Prozess des Windows Service Host (svchost.exe).

Der Schädling legt eine Datei "win.exe" im System-Verzeichnis von Windows an sowie eine "Sperrung.pdf" oder "Sperrung.rtf" im jeweils aktuellen Verzeichnis. Die PDF- oder RTF-Datei wird im installierten Standardprogramm angezeigt. Sie fordert dazu auf das Mail-Passwort zu ändern und die erhaltene Mail mit "Nospam" zu beantworten.

Die Antivirushersteller haben im Laufen des gestrigen Abend und der Nacht Updates bereit gestellt, sodass die zuerst verbreitete Schädlingsvariante inzwischen von vielen Virenscannern erkannt wird. Später verschickte neuere Varianten werden hingegen derzeit weniger gut erkannt.

Antivirus

Sperrung.exe

Hinweis.exe

AntiVir

TR/Dldr.iBill.BV

TR/Dldr.iBill.BW

Avast!

---

---

AVG

Agent.ANJC (Trojan horse)

---

Bitdefender

Trojan.FakeAlert.APY

---

CA-AV

---

---

ClamAV

Trojan.Downloader-60790

Trojan.Invo-13

Command AV

W32/Trojan3.MX

---

Dr Web

---

---

Fortinet

W32/Emold.C!tr

W32/Gypikon.CLF!tr

F-Prot

W32/Trojan3.MX

W32/Trojan-Gypikon-based.BA!Maximus

F-Secure

Trojan-Downloader:W32/Agent.IDO

Trojan-Downloader:W32/Agent.IDO

G-Data AVK 2008

---

---

G-Data AVK 2009

Trojan.FakeAlert.APY

---

Ikarus

Win32.Outbreak

Win32.Outbreak

K7 Computing

---

---

Kaspersky

---

---

McAfee

--- (Generic PUP.x)*

--- (Generic Dropper)*

Microsoft

TrojanDropper:Win32/Emold.D

TrojanDropper:Win32/Emold.D

Nod32

Win32/AutoRun.FakeAlert.AH

---

Norman

---

---

Panda

--- (Trj/Agent.LAJ)

--- (W32/Auraax.E.worm)*

QuickHeal

---

---

Rising AV

Trojan.Win32.Emold.d

Trojan.Win32.Emold.c

SecureWeb-GW

Trojan.Dldr.iBill.BV

Trojan.Dldr.iBill.BW

Sophos

Troj/Mdrop-BXF

Mal/EncPk-CZ

Spybot S&D

---

---

Sunbelt

---

---

Symantec

--- (W32.Auraax)*

--- (Downloader)*

Trend Micro

TROJ_MULDROP.AB

---

VBA32

---

---

VirusBuster

---

---

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 02.12.08, 12 Uhr

0 Kommentare zu diesem Artikel
38408