Trojanische Mails
Malware-Spam droht mit Mail-Sperre
Seit gestern Abend rollt eine neue Spam-Welle durch Deutschland, die den Empfängern mit der Sperre ihrer Mail-Adresse droht. Im Anhang der Mails steckt ein Trojanisches Pferd.
Deutschsprachige Malware-Spammer scheinen sich in letzter Zeit darauf verlegt zu haben die Empfänger mit Drohungen zum Öffnen der Anhänge zu verleiten. Seit gestern Abend schwappt eine neue Flut von Mails in die Mailboxen, in denen mit der Sperrung der Mail-Adresse gedroht wird. In der letzten Woche wurden zum wiederholten Male vorgebliche eBay-Abmahnungen als Köder benutzt. Die Mails enthalten jeweils einen Anhang, in dem ein Trojanisches Pferd steckt.
Die Mails tragen einen Betreff wie "Die E-Mail Adresse ... wird gesperrt" oder "Sperrung der E-Mail ...", wobei die jeweilige Zieladresse der Mails im Betreff enthalten ist. Im Text heißt es, es lägen etliche Beschwerden wegen Spam-Versands vor, es wird eine variierende Anzahl genannt. Die Adresse würde deshalb innerhalb der nächsten 24 Stunden gesperrt. Details und mögliche Schritte zur Entsperrung seien im Anhang zu finden.
Der Anhang besteht aus einem ZIP-Archiv mit Dateinamen wie "Sperrung.zip" oder "Hinweis.zip" und enthält entweder eine 81 KB große Datei "Sperrung.exe" oder eine etwas halb so große "Hinweis.exe". Beide tragen ein Dateidatum aus der Zukunft, den 1.12.2009. Es handelt sich hierbei um Trojanische Pferde, die Kontakt mit einem Server in China aufnehmen. Dazu injizieren sie Code in den laufenden Prozess des Windows Service Host (svchost.exe).
Der Schädling legt eine Datei "win.exe" im System-Verzeichnis von Windows an sowie eine "Sperrung.pdf" oder "Sperrung.rtf" im jeweils aktuellen Verzeichnis. Die PDF- oder RTF-Datei wird im installierten Standardprogramm angezeigt. Sie fordert dazu auf das Mail-Passwort zu ändern und die erhaltene Mail mit "Nospam" zu beantworten.
Die Antivirushersteller haben im Laufen des gestrigen Abend und der Nacht Updates bereit gestellt, sodass die zuerst verbreitete Schädlingsvariante inzwischen von vielen Virenscannern erkannt wird. Später verschickte neuere Varianten werden hingegen derzeit weniger gut erkannt.
| Antivirus | Sperrung.exe | Hinweis.exe |
|---|---|---|
| AntiVir | TR/Dldr.iBill.BV | TR/Dldr.iBill.BW |
| Avast! | --- | --- |
| AVG | Agent.ANJC (Trojan horse) | --- |
| Bitdefender | Trojan.FakeAlert.APY | --- |
| CA-AV | --- | --- |
| ClamAV | Trojan.Downloader-60790 | Trojan.Invo-13 |
| Command AV | W32/Trojan3.MX | --- |
| Dr Web | --- | --- |
| Fortinet | W32/Emold.C!tr | W32/Gypikon.CLF!tr |
| F-Prot | W32/Trojan3.MX | W32/Trojan-Gypikon-based.BA!Maximus |
| F-Secure | Trojan-Downloader:W32/Agent.IDO | Trojan-Downloader:W32/Agent.IDO |
| G-Data AVK 2008 | --- | --- |
| G-Data AVK 2009 | Trojan.FakeAlert.APY | --- |
| Ikarus | Win32.Outbreak | Win32.Outbreak |
| K7 Computing | --- | --- |
| Kaspersky | --- | --- |
| McAfee | --- (Generic PUP.x)* | --- (Generic Dropper)* |
| Microsoft | TrojanDropper:Win32/Emold.D | TrojanDropper:Win32/Emold.D |
| Nod32 | Win32/AutoRun.FakeAlert.AH | --- |
| Norman | --- | --- |
| Panda | --- (Trj/Agent.LAJ) | --- (W32/Auraax.E.worm)* |
| QuickHeal | --- | --- |
| Rising AV | Trojan.Win32.Emold.d | Trojan.Win32.Emold.c |
| SecureWeb-GW | Trojan.Dldr.iBill.BV | Trojan.Dldr.iBill.BW |
| Sophos | Troj/Mdrop-BXF | Mal/EncPk-CZ |
| Spybot S&D | --- | --- |
| Sunbelt | --- | --- |
| Symantec | --- (W32.Auraax)* | --- (Downloader)* |
| Trend Micro | TROJ_MULDROP.AB | --- |
| VBA32 | --- | --- |
| VirusBuster | --- | --- |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 02.12.08, 12 Uhr
Quelle: AV-Test, Stand: 02.12.08, 12 Uhr
