Vorsicht bei Grußkarten-Mails
Vorgebliche Grußkarten-Mails von Unbekannten enthalten einen Link zu einer Website, wo die Empfänger angeblich die Grußkarte ansehen können. Tatsächlicher wird den Besuchern der Seite jedoch eine komplexe Malware aufgenötigt.
Auch in dieser Woche werden wieder vorgebliche Grußkarten-Mails Spam-artig verbreitet. Bereits im August gab es eine Welle solcher Mails, die der Verbreitung von Malware dienten (wir berichteten). Inzwischen haben die Täter die Website gewechselt und die Malware aktualisiert.
Die Mails kommen mit einem Betreff wie "Sie haben eine Grusskarte bekommen." und einem Frauennamen als Absenderangabe. Die gefälschte Absenderadresse besteht aus einer zufälligen Zeichenkette und der Domain "all-yours.net". Der Mail-Text fordert die Empfänger auf, den enthaltenen Link anzuklicken, um die Grußkarte abzuholen. Der Link führt zur Website "all-yours.2288.org".
Dort wird dem Besucher eine vorgebliche neue Version des Flash-Players aufgedrängt, ohne die er die Grußkarte angeblich nicht anschauen kann. Die Datei "Flash_Player_Installer.exe" ist lediglich knapp 13 KB groß. Der Download-Dialog für diese Datei öffnet sich automatisch bei Aufruf der Seite.
Bei dieser Datei handelt es sich um komplexe Malware. Sie lädt unter anderem weitere Schädlinge aus dem Internet nach, installiert einen neuen Windows-Dienst, manipuliert Dutzende von Registry-Einträgen und installiert ein Browser Helper Object (BHO) im Internet Explorer. Letzteres dient mutmaßlich dazu, eingegebene Anmeldedaten für Web-Dienste oder das Online-Banking auszuspionieren.
Erkennung durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.Agent.HJ.2 |
| Avast! | Win32:Hanlo-D [Trj] |
| AVG | --- |
| BitDefender | Trojan.Spy.Agent.HJ |
| ClamAV | --- |
| Command | W32/Threat-HLLSI-based!Maximus (variant) |
| Dr Web | --- |
| eSafe | Trojan/Worm [101] (suspicious) |
| eTrust-INO | --- |
| eTrust-VET | --- |
| Ewido | --- |
| F-Prot | W32/Threat-HLLSI-based!Maximus (variant) |
| F-Secure | --- |
| Fortinet | suspicious |
| Ikarus | Trojan-Spy.Win32.Agent.DI |
| Kaspersky | --- |
| McAfee | --- (Spy-Agent.bk trojan)* |
| Microsoft | --- |
| Nod32 | Win32/TrojanDownloader.Hanlo |
| Norman | --- |
| Panda | Suspicious file |
| QuickHeal | Suspicious (warning) |
| Sophos | Troj/Haxdor-Fam |
| Symantec | --- (Downloader)* |
| Trend Micro | TROJ_HAXDOR.BH |
| UNA | --- |
| VBA32 | Trojan-Downloader.Agent.6 |
| VirusBuster | --- |
| WebWasher | Trojan.Spy.Agent.HJ.2 |
| GData AVK ** | Trojan.Spy.Agent.HJ |
Quelle: AV-Test, Stand: 20.09.06, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender
