Wie schon vor einigen Wochen werden zurzeit wieder vorgebliche Rechnungen eines Anwalts der Schmidtlein-Brüder per Mail verschickt, inklusive Malware im Anhang. Anwalt und Mail-Empfänger sitzen diesmal allerdings in der Schweiz.
Wie bereits im April und Mai dieses Jahres werden derzeit wieder Spam-artige Mails verschickt, die eine vorgebliche Anwaltsrechnung enthalten. Die Mails richten sich an Empfänger in der Schweiz und die als vorgeblicher Absender missbrauchte Anwaltskanzlei hat ihren Sitz in Bern. In den Mails heißt es, der Anwalt vertrete die Schmidtlein-Brüder bei der Durchsetzung einer Forderung.
Die Empfänger sollen angeblich die Website "P2P-heute.com" genutzt haben und den Betreibern dafür noch Geld schulden. Wie schon in früheren Mails dieser Art zeichnen sich die vorgeblichen Forderungen durch offensichtliche Rechenfehler aus. Sie verweisen auf den Anhang, der eine "Originalrechnung [...] als signierte PDF Datei" enthalten soll.
Tatsächlich steckt in dem ZIP-Archiv "rechnung.zip" eine EXE-Datei namens
"Rechnung______________1.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe". Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Letztlich landet eine Datei "ntos.exe" (178 KB) im System32-Verzeichnis von Windows. Dabei handelt es sich um ein Trojanisches Pferd, das Bankdaten ausspionieren soll.
Erkennung durch Antivirus-Software:
|
Antivirus
|
Rechnung_...exe
|
ntos.exe
|
|---|---|---|
|
AntiVir
|
TR/Dldr.iBill.AW.2
|
TR/Dldr.iBill.AW.1
|
|
Avast!
|
---
|
---
|
|
---
|
---
|
|
|
A-Squared
|
---
|
---
|
|
Trojan.Downloader.Nurech.BS
|
Trojan.Downloader.Agent.YGO
|
|
|
ClamAV
|
Trojan.Small-2890
|
Trojan.Spy-10127
|
|
Command AV
|
W32/Downloader2.AJXF
|
---
|
|
Dr Web
|
---
|
---
|
|
eSafe
|
Win32.Nurech.bs
|
Trojan/Worm [100]
|
|
eTrust
|
Win32/Chepvil!generic
|
---
|
|
Ewido
|
---
|
---
|
|
F-Prot
|
W32/Downloader2.AJX
|
---
|
|
Trojan-Downloader.Win32.Nurech.bs
|
Trojan-Spy.Win32.Agent.pz
|
|
|
Fortinet
|
W32/Clagger.BS!tr.dldr
|
W32/Agent.BRW!tr
|
|
Ikarus
|
Win32.Outbreak
|
Trojan-Spy.Win32.Bancos.aam
|
|
Trojan-Downloader.Win32.Nurech.bs
|
Trojan-Spy.Win32.Agent.pz
|
|
|
--- (Downloader-AAP)*
|
New Malware.bl
|
|
|
---
|
---
|
|
|
Nod32
|
Win32/TrojanDownloader.Nurech.BS
|
Win32/Spy.Agent.PZ
|
|
Norman
|
W32/BZub.ZA
|
---
|
|
--- (Trj/Downloader.PGY)*
|
Suspicious file (Trj/Wsnpoem.EI)*
|
|
|
QuickHeal
|
---
|
---
|
|
Rising AV
|
---
|
---
|
|
Sophos
|
Mal/Clagger-G
|
---
|
|
Spybot S&D
|
---
|
---
|
|
Downloader
|
Trojan Horse
|
|
|
Trend Micro
|
---
|
---
|
|
VBA32
|
---
|
---
|
|
VirusBuster
|
---
|
---
|
|
WebWasher
|
Trojan.Dldr.iBill.AW.2
|
Trojan.Dldr.iBill.AW.1
|
|
GData AVK 2007 **
|
Trojan-Downloader.Win32.Nurech.bs
|
Trojan-Spy.Win32.Agent.pz
|
Quelle:
AV-Test
, Stand: 03.07.2007, 15 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
Malware: Trojanische Rechnung vom Anwalt (PC-WELT Online, 11.04.2007)
Malware: Neue Anwaltsrechnung (PC-WELT Online, 24.04.2007)
Malware-Spam: Wieder falsche Mails vom Anwalt (PC-WELT Online, 23.05.2007)