Mit wie üblich sehr hohen Beträgen sollen vorgebliche Telekom-Rechnungen, die per Mail Spam-artig verbreitet werden, die Empfänger zum Öffnen des Mail-Anhangs verleiten. Wer darauf herein fällt, installiert ein Trojanisches Pferd auf seinem PC.
Die vorgeblich von der T-Com stammenden Mails mit einem Betreff wie "Rechnung Online Monat September 2006" enthalten einen Anhang namens "Rechnung.pdf.zip" (10 KB). In diesem ZIP-Archiv steckt eine EXE-Datei gleichen Namens mit PDF-Symbol. Dabei handelt es sich um Malware, die weitere Schädlinge aus dem Internet herunter lädt.
Wird die EXE-Datei gestartet, legt sie im Verzeichnis C:\WINDOWS\System32\drivers eine Datei "winut.dat" an. Darin sind verschlüsselte Download-Adressen für weitere Malware enthalten. Diese versucht der Schädling herunter zu laden. Außerdem trägt er sich in die Windows-Registry ein, damit er bei jedem Windows-Start geladen wird.
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
TR/Dldr.EbayBill.J
|
|
Avast!
|
---
|
|
Downloader.Generic2.OSR (Trojan horse)
|
|
|
Trojan.Downloader.EbayBill.F
|
|
|
ClamAV
|
Trojan.Downloader.Small-2592
|
|
Command
|
---
|
|
Dr Web
|
---
|
|
eSafe
|
---
|
|
eTrust-INO
|
---
|
|
eTrust-VET
|
---
|
|
Ewido
|
Downloader.Nurech.a
|
|
F-Prot
|
---
|
|
Trojan-Downloader.Win32.Nurech.a
|
|
|
Fortinet
|
W32/Clagger.A!tr.dldr
|
|
Ikarus
|
Trojan-Downloader.Win32.Nurech.a
|
|
Trojan- Downloader.Win32.Nurech.a
|
|
|
Downloader-AAP trojan
|
|
|
---
|
|
|
Nod32
|
Win32/TrojanDownloader.Agent.UF trojan
|
|
Norman
|
---
|
|
Trj/Clagge.D
|
|
|
QuickHeal
|
---
|
|
Sophos
|
Troj/Clagger-AC
|
|
Trojan.Schoeberl.D
|
|
|
Trend Micro
|
TROJ_YABE.AC
|
|
UNA
|
TrojanDownloader.Win32.Nurech.660
|
|
VBA32
|
---
|
|
VirusBuster
|
Trojan.DL.Agent.PUJ
|
|
WebWasher
|
Trojan.Dldr.EbayBill.J
|
|
GData AVK **
|
Trojan- Downloader.Win32.Nurech.a
|
Quelle: AV-Test (http://www.av-test.de)
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender