1310334

DHL-Mails mit Trojanischen Pferden

11.12.2009 | 12:38 Uhr |

Zurzeit werden wieder Spam-artige Mails verbreitet, die vorgeblich von Paketdiensten stammen und über nicht zugestellten Paketsendungen handeln. Der Anhang dieser Mails besteht aus einem Trojanischen Pferd.

Gerade in der Vorweihnachtszeit, in der viele Pakete verschickt, erwartet und empfangen werden, dürften Mails mit vorgeblichen Zustellbenachrichtigungen auf fruchtbaren Boden fallen. Bereits seit dem Frühsommer 2008 werden immer wieder gefälschte Mails von DHL, UPS oder FedEx verbreitet, um Trojanische Pferde unters Volk zu bringen.

Derzeit sind es vorgebliche DHL-Mails mit einem Betreff wie "DHL Office. You need to get a parcel" oder "DHL Express Services. Get your parcel". Oft enthält die gefälschte Absenderangabe den Titel "Manager". In den Mails heißt es, ein Paket habe nicht zugestellt werden können, weil die Adresse falsch gewesen sei. Man möge doch das Paket persönlich abholen. Dazu sollen die Empfänger das Versandetikett im Anhang öffnen und ausdrucken.

Der Mail-Anhang besteht aus einem ZIP-Archiv mit einem Dateinamen wie "DHL_Label_cee35.zip", "DHL_Label_a12b4.zip" oder ähnlichen und ist zwischen 15 und 20 KB groß. Darin steckt eine gleichnamige, etwa 30 KB große EXE-Datei. Es handelt sich dabei um ein Trojanisches Pferd aus der Bredolab-Familie. Diese Schädlinge können zum Beispiel weitere Malware aus dem Internet nachladen, Passwörter ausspionieren oder den befallenen Rechner in ein Botnet einreihen.

Praktisch bereits ebenso lange wie diese gefälschten Mails gibt es Kettenbrief-artig verbreitete Warnungen vor diesen Mails. Im Gegensatz zu den meisten derartigen Virenwarnungen handelt es sich nicht um Falschmeldungen (so genannte Hoaxes ). Doch da liegt auch das Problem: die überwiegende Zahl solcher Warn-Mails sind Hoaxes. Kettenbriefe sind also zu Recht per se unglaubwürdig und kein geeignetes Medium für ernsthafte Anliegen.

Erkennung des Schädlings durch Antivirusprogramme:

Antivirus

Malware-Name

AntiVir

TR/Dropper.Gen

Authentium

W32/Bredolab!Generic2

Avast

Win32:Bredolab-BD [Trj]

AVG

Win32/Cryptor

Bitdefender

Gen:Trojan.Heur.bqW@yLV39gkcf

CA-AV

Win32/Bredolab.VT

ClamAV

---

Dr.Web

---

Eset Nod32

Win32/Kryptik.BEX trojan (variant)

Fortinet

W32/PackBredolab.C

F-Prot

W32/Bredolab!Generic2

F-Secure

Gen:Trojan.Heur.bqW@yLV39gkcf

G-Data AVK 2008

Backdoor.Win32.Bredolab.bku

G-Data AVK 2009

Gen:Trojan.Heur.bqW@yLV39gkcf

Ikarus

Trojan.Win32.Bredolab

K7 Computing

Virus (109a4a4f0)

Kaspersky

Backdoor.Win32.Bredolab.bku

McAfee

Generic Dropper.lr (trojan)

McAfee Artemis

Generic Dropper.lr (trojan)

McAfee GW Edition

Heuristic.LooksLike.Trojan.Dropper.H

Microsoft

TrojanDownloader:Win32/Bredolab.X

Norman

W32/Obfuscated.D

Panda

---

Panda (Online)

Trj/CI.A

PC Tools

HeurEngine.MaliciousPacker

QuickHeal

Win32.Trojan.Monder.gen.4

Rising AV

---

Sophos

Mal/Bredo-A

Spybot S&D

---

Sunbelt

Trojan-Downloader.Win32.Bredolab.X

Symantec

Packed.Generic.265

Trend Micro

TROJ_BREDOLAB.DL

VBA32

---

VirusBuster

Trojan.Fraudload.Gen!Pac.5 (mutant)

Webroot

Mal/Bredo-A

Quelle: AV-Test , Stand: 11.12.2009, 11:30 Uhr

0 Kommentare zu diesem Artikel
1310334