64542

Vorsicht bei Grußkarten-Mails

20.09.2006 | 16:35 Uhr |

Vorgebliche Grußkarten-Mails von Unbekannten enthalten einen Link zu einer Website, wo die Empfänger angeblich die Grußkarte ansehen können. Tatsächlicher wird den Besuchern der Seite jedoch eine komplexe Malware aufgenötigt.

Auch in dieser Woche werden wieder vorgebliche Grußkarten-Mails Spam-artig verbreitet. Bereits im August gab es eine Welle solcher Mails, die der Verbreitung von Malware dienten (wir berichteten). Inzwischen haben die Täter die Website gewechselt und die Malware aktualisiert.

Die Mails kommen mit einem Betreff wie "Sie haben eine Grusskarte bekommen." und einem Frauennamen als Absenderangabe. Die gefälschte Absenderadresse besteht aus einer zufälligen Zeichenkette und der Domain "all-yours.net". Der Mail-Text fordert die Empfänger auf, den enthaltenen Link anzuklicken, um die Grußkarte abzuholen. Der Link führt zur Website "all-yours.2288.org".

Dort wird dem Besucher eine vorgebliche neue Version des Flash-Players aufgedrängt, ohne die er die Grußkarte angeblich nicht anschauen kann. Die Datei "Flash_Player_Installer.exe" ist lediglich knapp 13 KB groß. Der Download-Dialog für diese Datei öffnet sich automatisch bei Aufruf der Seite.

Bei dieser Datei handelt es sich um komplexe Malware. Sie lädt unter anderem weitere Schädlinge aus dem Internet nach, installiert einen neuen Windows-Dienst, manipuliert Dutzende von Registry-Einträgen und installiert ein Browser Helper Object (BHO) im Internet Explorer. Letzteres dient mutmaßlich dazu, eingegebene Anmeldedaten für Web-Dienste oder das Online-Banking auszuspionieren.

Erkennung durch Antivirus-Software :

Antivirus

Malware-Name

AntiVir

TR/Spy.Agent.HJ.2

Avast!

Win32:Hanlo-D [Trj]

AVG

---

BitDefender

Trojan.Spy.Agent.HJ

ClamAV

---

Command

W32/Threat-HLLSI-based!Maximus (variant)

Dr Web

---

eSafe

Trojan/Worm [101] (suspicious)

eTrust-INO

---

eTrust-VET

---

Ewido

---

F-Prot

W32/Threat-HLLSI-based!Maximus (variant)

F-Secure

---

Fortinet

suspicious

Ikarus

Trojan-Spy.Win32.Agent.DI

Kaspersky

---

McAfee

--- (Spy-Agent.bk trojan)*

Microsoft

---

Nod32

Win32/TrojanDownloader.Hanlo

Norman

---

Panda

Suspicious file

QuickHeal

Suspicious (warning)

Sophos

Troj/Haxdor-Fam

Symantec

--- (Downloader)*

Trend Micro

TROJ_HAXDOR.BH

UNA

---

VBA32

Trojan-Downloader.Agent.6

VirusBuster

---

WebWasher

Trojan.Spy.Agent.HJ.2

GData AVK **

Trojan.Spy.Agent.HJ


Quelle: AV-Test , Stand: 20.09.06, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender

0 Kommentare zu diesem Artikel
64542