Weihnachtspaket oder Malware?
DHL-Mails mit Trojanischen Pferden
Zurzeit werden wieder Spam-artige Mails verbreitet, die vorgeblich von Paketdiensten stammen und über nicht zugestellten Paketsendungen handeln. Der Anhang dieser Mails besteht aus einem Trojanischen Pferd.
Gerade in der Vorweihnachtszeit, in der viele Pakete verschickt, erwartet und empfangen werden, dürften Mails mit vorgeblichen Zustellbenachrichtigungen auf fruchtbaren Boden fallen. Bereits seit dem Frühsommer 2008 werden immer wieder gefälschte Mails von DHL, UPS oder FedEx verbreitet, um Trojanische Pferde unters Volk zu bringen.
Derzeit sind es vorgebliche DHL-Mails mit einem Betreff wie "DHL Office. You need to get a parcel" oder "DHL Express Services. Get your parcel". Oft enthält die gefälschte Absenderangabe den Titel "Manager". In den Mails heißt es, ein Paket habe nicht zugestellt werden können, weil die Adresse falsch gewesen sei. Man möge doch das Paket persönlich abholen. Dazu sollen die Empfänger das Versandetikett im Anhang öffnen und ausdrucken.
Der Mail-Anhang besteht aus einem ZIP-Archiv mit einem Dateinamen wie "DHL_Label_cee35.zip", "DHL_Label_a12b4.zip" oder ähnlichen und ist zwischen 15 und 20 KB groß. Darin steckt eine gleichnamige, etwa 30 KB große EXE-Datei. Es handelt sich dabei um ein Trojanisches Pferd aus der Bredolab-Familie. Diese Schädlinge können zum Beispiel weitere Malware aus dem Internet nachladen, Passwörter ausspionieren oder den befallenen Rechner in ein Botnet einreihen.
Praktisch bereits ebenso lange wie diese gefälschten Mails gibt es Kettenbrief-artig verbreitete Warnungen vor diesen Mails. Im Gegensatz zu den meisten derartigen Virenwarnungen handelt es sich nicht um Falschmeldungen (so genannte Hoaxes). Doch da liegt auch das Problem: die überwiegende Zahl solcher Warn-Mails sind Hoaxes. Kettenbriefe sind also zu Recht per se unglaubwürdig und kein geeignetes Medium für ernsthafte Anliegen.
Erkennung des Schädlings durch Antivirusprogramme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dropper.Gen |
| Authentium | W32/Bredolab!Generic2 |
| Avast | Win32:Bredolab-BD [Trj] |
| AVG | Win32/Cryptor |
| Bitdefender | Gen:Trojan.Heur.bqW@yLV39gkcf |
| CA-AV | Win32/Bredolab.VT |
| ClamAV | --- |
| Dr.Web | --- |
| Eset Nod32 | Win32/Kryptik.BEX trojan (variant) |
| Fortinet | W32/PackBredolab.C |
| F-Prot | W32/Bredolab!Generic2 |
| F-Secure | Gen:Trojan.Heur.bqW@yLV39gkcf |
| G-Data AVK 2008 | Backdoor.Win32.Bredolab.bku |
| G-Data AVK 2009 | Gen:Trojan.Heur.bqW@yLV39gkcf |
| Ikarus | Trojan.Win32.Bredolab |
| K7 Computing | Virus (109a4a4f0) |
| Kaspersky | Backdoor.Win32.Bredolab.bku |
| McAfee | Generic Dropper.lr (trojan) |
| McAfee Artemis | Generic Dropper.lr (trojan) |
| McAfee GW Edition | Heuristic.LooksLike.Trojan.Dropper.H |
| Microsoft | TrojanDownloader:Win32/Bredolab.X |
| Norman | W32/Obfuscated.D |
| Panda | --- |
| Panda (Online) | Trj/CI.A |
| PC Tools | HeurEngine.MaliciousPacker |
| QuickHeal | Win32.Trojan.Monder.gen.4 |
| Rising AV | --- |
| Sophos | Mal/Bredo-A |
| Spybot S&D | --- |
| Sunbelt | Trojan-Downloader.Win32.Bredolab.X |
| Symantec | Packed.Generic.265 |
| Trend Micro | TROJ_BREDOLAB.DL |
| VBA32 | --- |
| VirusBuster | Trojan.Fraudload.Gen!Pac.5 (mutant) |
| Webroot | Mal/Bredo-A |
Quelle: AV-Test, Stand: 11.12.2009, 11:30 Uhr
