27378

Malware-Spammer spielen Internet-Polizei

17.09.2008 | 16:08 Uhr |

Mit der Drohung, der ihr Internet-Zugang werde gesperrt, sollen Empfänger von Malware-Spam dazu verleitet werden einen schädlichen Mail-Anhang zu öffnen. Darin steckt ein Trojanisches Pferd, das Kontodaten ausspionieren soll.

Angst ist ein schlechter Ratgeber und deshalb ein gut geeignetes Mittel, um jemanden zu unbedachtem Handeln zu verleiten. Das haben sich offenbar auch Online-Kriminelle gedacht und verschicken seit ein paar Tagen Mails, in denen sie den Empfängern mit der Sperrung ihres Internet-Zugangs drohen. Sie geben sie als "Internet Service Provider Consorcium" aus und behaupten die Rechte von Autoren und Künstlern zu schützen. Sie werfen den Empfängern angebliche "illegale Aktivitäten" vor.

Die Mails kommen mit dem Betreff "Your internet access is going to get suspended" und der Absenderangabe "ICS Monitoring Team". Sie fordern die Empfänger auf ihre Downloads von urheberrechtlich geschütztem Material zu stoppen, sonst werde der Internet-Zugang gesperrt. Da viele der Empfänger schon einmal etwas aus dem Internet herunter geladen haben dürften, das eventuell in diese Kategorie fällt, könnte sie ein solcher Schreck in der Morgenstunde zum Öffnen des Mail-Anhangs verleiten.

Laut Mail-Text soll der Anhang einen Bericht über die Aktivitäten des Empfängers in den letzten sechs Monaten enthalten. Der Anhang besteht aus einem 33 KB großen ZIP-Archiv mit dem Dateinamen "user-EA49943X-activities.zip". Darin steckt eine gleichnamige EXE-Datei. Es handelt sich dabei um ein Trojanisches Pferd. Es legt im Verzeichnis Windows\System32 die Dateien "cabpck.dll" und "krnlcab.sys" an und löscht sich dann selbst.

Die beiden Dateien sind Schädlinge aus der Goldun-Familie. Die Datei krnlcab.sys ist ein so genanntes Rootkit, also eine Tarnkappe für andere Malware. Die andere Datei ist ein Key-Logger. Der Schädling soll die Zugangsdaten zum Online-Bezahlsystem "E-Gold" ausspionieren.

Bereit vor ein paar Jahren hatte sich der Wurm "Sober" mit Mails verbreitet, die den Empfängern mit polizeilichen Ermittlungen wegen angeblicher Urheberrechtsverletzungen drohte.

Erkennung des Mail-Anhangs durch aktuelle Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Spy.Goldun.axt

A-Squared

Trojan-Spy.Win32.Goldun.axt

Avast!

Win32:Trojan-gen {Other}

AVG

SHeur.CIKH (Trojan horse)

Bitdefender

Trojan.Banker.LCG

CA-AV

Win32/Ldpinch.PJ

ClamAV

Trojan.Goldun-278

Command AV

W32/Trojan3.T (destructive program)

Dr Web

Trojan.Kllem.1

Ewido

---

Fortinet

W32/Goldun.AXT!tr.spy

F-Prot

W32/Trojan3.T

F-Secure

Trojan-Spy.Win32.Goldun.axt

G-Data AVK 2008

Trojan-Spy.Win32.Goldun.axt

G-Data AVK 2009

Trojan.Banker.LCG

Ikarus

Trojan-Spy.Win32.Goldun.axt

K7 Computing

Trojan.Win32.Malware.1

Kaspersky

Trojan-Spy.Win32.Goldun.axt

McAfee

Spy-Agent.bg (trojan)

Microsoft

Trojan:Win32/Agent.PX

Nod32

Win32/Spy.Goldun.NDJ trojan

Norman

W32/Goldun.CNC

Panda

Trj/Goldun.TB

QuickHeal

TrojanSpy.Goldun.axt

Rising AV

---

SecureWeb-Gateway (Webwasher)

Trojan.Spy.Goldun.axt

Sophos

Troj/Meredrop-A

Spybot S&D

Worldsecurityonline.FakeAlert,Malware,Executable

Sunbelt

Trojan-Spy.Win32.Goldun.axt

Symantec

Trojan.Goldun

Trend Micro

TROJ_MEREDROP.GJ

VBA32

Trojan-Spy.Win32.Goldun.axr

VirusBuster

TrojanSpy.Goldun.APH (trojan)

Quelle: AV-Test ( http://www.av-test.de ), Stand: 17.09.2008, 13:30 Uhr

0 Kommentare zu diesem Artikel
27378