Trojanische Pakete
Falsche FedEx-Mails mit Malware
Ein weiterer Paketdienst muss als vorgeblicher Absender von Mails herhalten, die ein Trojanisches Pferd enthalten. Nach UPS ist nun FedEx an der Reihe.
Im Juli und Anfang August gab es im wöchentlichen Rhythmus Spam-artig verbreitete Mails, die vorgeblich vom Paketdienst UPS kamen. Jetzt muss dessen Mitbewerber FedEx als gefälschte Herkunftsangabe herhalten. Die Mails folgen dem bereits bekannten Schema und enthalten eine ZIP-Datei mit einem Trojanischen Pferd.
Der Betreff der vorgeblichen FedEx-Mails lautet zum Beispiel "Fedex Tracking N_ 3721889560", "Fedex Postal Service N_ 9564873284" oder "Tracking N 0637969382", wobei die Nummern immer unterschiedlich sind. Die (ohnehin falsche) Absenderangabe ist ebenfalls recht variabel, weist jedoch in keinem Fall auf FedEx oder gar den wahren Versender hin.
Im Text heißt es, ein Postpaket habe leider nicht zugestellt werden können, weil die Empfängeradresse nicht korrekt gewesen sei. Man möge doch die Rechnungskopie im Anhang ausdrucken und das Paket selbst abholen. Im Anhang der Mails findet sich ein ZIP-Archiv namens "WD6128922.zip", das eine gleichnamige, 72 KB große EXE-Datei enthält.
Diese EXE-Datei ist ein so genannter "Trojan-Downloader", also ein Schädling, der weitere Malware aus dem Internet nachlädt und auf dem Rechner des Opfers installiert. Dabei kann es sich zum Beispiel um ein betrügerisches Schutzprogramm handeln, das falsche Virenfunde meldet. Die Erkennung des Schädlings durch Antivirus-Programme ist bereits recht gut.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.ZBot.DFO |
| Avast! | --- |
| AVG | Agent.AADX (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Spy.Wsnpoem.GT |
| CA-AV | Win32/Kollah.NW |
| ClamAV | Trojan.Zbot-1962 |
| Command AV | W32/Downldr2.DIHS (security risk) |
| Dr Web | Trojan.Proxy.3747 |
| Ewido | --- |
| Fortinet | W32/Zbot.ED!tr.spy |
| F-Prot | W32/Downldr2.DIHS |
| F-Secure | Trojan-Spy.Win32.Zbot.edw |
| G-Data AVK | Trojan-Spy.Win32.Zbot.edw |
| Ikarus | Win32.Outbreak.Fedex4711.DL |
| K7 Computing | --- |
| Kaspersky | Trojan-Spy.Win32.Zbot.edw |
| McAfee | New Malware.ix (Generic Downloader.z)* |
| Microsoft | Trojan:Win32/Zbot.BF |
| Nod32 | Win32/Spy.Agent.PZ trojan |
| Norman | --- |
| Panda | --- (Adware/XPSecurityCenter (spyware))* |
| QuickHeal | --- |
| Rising AV | Trojan.Win32.Ntos.je |
| Sophos | Mal/EncPk-CZ |
| Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
| Sunbelt | --- |
| Symantec | --- (Backdoor.Paproxy)* |
| Trend Micro | TROJ_RENOS.AIG |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Spy.ZBot.DFO |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 21.08.08, 13:30 Uhr
Quelle: AV-Test (http://www.av-test.de), Stand: 21.08.08, 13:30 Uhr
