61474

Trojanisches Pferd in angeblicher Ebay-Rechnung

12.09.2005 | 15:12 Uhr |

In Mails mit gefälschten Ebay-Rechnungen ist ein Trojanisches Pferd enthalten.

Derzeit werden Mails verschickt, die vorgeblich von Ebay kommen. Sie enthalten eine angebliche Rechnung über meist mehrere hundert Euro. Im Anhang befindet sich eine Datei namens "Ebay-Rechnung.pdf.exe". Sie trägt meist ein PDF-Symbol, das vortäuschen soll, es handele sich um eine PDF-Datei.

Die Mails tragen einen Betreff wie "Ihre Gebuehren, "7 Tage bis Ihre Kontosperrung" oder "Die Zahlung Ihrer eBay-Gebuehren ist demnaechst faellig". Die in der Mail enthaltenen Links führen tatsächlich zu Ebay-Seiten. Wer also einen anfänglichen Verdacht hegt, es könnte sich um eine PhishinGoogle-Mail handeln, wird so in die Irre geführt.

Wird die angehängte EXE-Datei ausgeführt, kopiert sie sich als "ipfw.exe" in das System-Verzeichnis von Windows (meist C:\Windows\System32\) und trägt diese Kopie in die Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ipfw = %system%\ipfw.exe

Dadurch wird das Programm beim Start von Windows automatisch geladen. Es lädt weitere Dateien von verschiedenen Web-Servern herunter. Aus diesen Dateien setzt es sich eine Liste mit Download-Servern zusammen, von denen es einen Wurm herunterlädt. Dieser modifiziert die Registry, sodass er sich über die P2P-Netze von Kazaa und Imesh verbreiten kann. Er installiert ferner ein so genanntes Rootkit, das die DLL einer Spyware-Komponente tarnen soll. Diese überwacht verschiedene Web-Seiten.

Nachdem am Sonntag Abend praktisch kein Virenscanner die Datei aus dem Mail-Anhang erkannte, haben inzwischen die meisten Antivirus-Hersteller reagiert. So erkennt zum Beispiel Antivir den Anhang als "TR/Dldr.Agent.uf", Kaspersky als "Trojan-Downloader.Win32.Agent.uf" und Trend Micro als "TROJ_RECHNUNG.A". Trend Micro hat mittlerweile bereits eine Umbennung auf "TROJ_YABE.A" vorgenommen und eine Beschreibung ins Web gestellt.

Fälle, in denen angebliche Online-Rechnungen einen schädlichen Mail-Anhang mitbrachten, sind in den letzten Monaten bereits häufiger aufgetreten, etwa mit der Telekom , dem Otto-Versand oder dem Online-Reisebüro Opodo.de .

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
61474