Mit der Drohung, der ihr Internet-Zugang werde gesperrt, sollen Empfänger von Malware-Spam dazu verleitet werden einen schädlichen Mail-Anhang zu öffnen. Darin steckt ein Trojanisches Pferd, das Kontodaten ausspionieren soll.
Angst ist ein schlechter Ratgeber und deshalb ein gut geeignetes Mittel, um jemanden zu unbedachtem Handeln zu verleiten. Das haben sich offenbar auch Online-Kriminelle gedacht und verschicken seit ein paar Tagen Mails, in denen sie den Empfängern mit der Sperrung ihres Internet-Zugangs drohen. Sie geben sie als "Internet Service Provider Consorcium" aus und behaupten die Rechte von Autoren und Künstlern zu schützen. Sie werfen den Empfängern angebliche "illegale Aktivitäten" vor.
Die Mails kommen mit dem Betreff "Your internet access is going to get suspended" und der Absenderangabe "ICS Monitoring Team". Sie fordern die Empfänger auf ihre Downloads von urheberrechtlich geschütztem Material zu stoppen, sonst werde der Internet-Zugang gesperrt. Da viele der Empfänger schon einmal etwas aus dem Internet herunter geladen haben dürften, das eventuell in diese Kategorie fällt, könnte sie ein solcher Schreck in der Morgenstunde zum Öffnen des Mail-Anhangs verleiten.
Laut Mail-Text soll der Anhang einen Bericht über die Aktivitäten des Empfängers in den letzten sechs Monaten enthalten. Der Anhang besteht aus einem 33 KB großen ZIP-Archiv mit dem Dateinamen "user-EA49943X-activities.zip". Darin steckt eine gleichnamige EXE-Datei. Es handelt sich dabei um ein Trojanisches Pferd. Es legt im Verzeichnis Windows\System32 die Dateien "cabpck.dll" und "krnlcab.sys" an und löscht sich dann selbst.
Die beiden Dateien sind Schädlinge aus der Goldun-Familie. Die Datei krnlcab.sys ist ein so genanntes Rootkit, also eine Tarnkappe für andere Malware. Die andere Datei ist ein Key-Logger. Der Schädling soll die Zugangsdaten zum Online-Bezahlsystem "E-Gold" ausspionieren.
Bereit vor ein paar Jahren hatte sich der Wurm "Sober" mit Mails verbreitet, die den Empfängern mit polizeilichen Ermittlungen wegen angeblicher Urheberrechtsverletzungen drohte.
Erkennung des Mail-Anhangs durch aktuelle Antivirus-Software:
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
TR/Spy.Goldun.axt
|
|
A-Squared
|
Trojan-Spy.Win32.Goldun.axt
|
|
Avast!
|
Win32:Trojan-gen {Other}
|
|
AVG
|
SHeur.CIKH (Trojan horse)
|
|
Bitdefender
|
Trojan.Banker.LCG
|
|
CA-AV
|
Win32/Ldpinch.PJ
|
|
ClamAV
|
Trojan.Goldun-278
|
|
Command AV
|
W32/Trojan3.T (destructive program)
|
|
Dr Web
|
Trojan.Kllem.1
|
|
Ewido
|
---
|
|
Fortinet
|
W32/Goldun.AXT!tr.spy
|
|
F-Prot
|
W32/Trojan3.T
|
|
F-Secure
|
Trojan-Spy.Win32.Goldun.axt
|
|
G-Data AVK 2008
|
Trojan-Spy.Win32.Goldun.axt
|
|
G-Data AVK 2009
|
Trojan.Banker.LCG
|
|
Ikarus
|
Trojan-Spy.Win32.Goldun.axt
|
|
K7 Computing
|
Trojan.Win32.Malware.1
|
|
Kaspersky
|
Trojan-Spy.Win32.Goldun.axt
|
|
McAfee
|
Spy-Agent.bg (trojan)
|
|
Microsoft
|
Trojan:Win32/Agent.PX
|
|
Nod32
|
Win32/Spy.Goldun.NDJ trojan
|
|
Norman
|
W32/Goldun.CNC
|
|
Panda
|
Trj/Goldun.TB
|
|
QuickHeal
|
TrojanSpy.Goldun.axt
|
|
Rising AV
|
---
|
|
SecureWeb-Gateway (Webwasher)
|
Trojan.Spy.Goldun.axt
|
|
Sophos
|
Troj/Meredrop-A
|
|
Spybot S&D
|
Worldsecurityonline.FakeAlert,Malware,Executable
|
|
Sunbelt
|
Trojan-Spy.Win32.Goldun.axt
|
|
Symantec
|
Trojan.Goldun
|
|
Trend Micro
|
TROJ_MEREDROP.GJ
|
|
VBA32
|
Trojan-Spy.Win32.Goldun.axr
|
|
VirusBuster
|
TrojanSpy.Goldun.APH (trojan)
|
Quelle: AV-Test (
http://www.av-test.de
), Stand: 17.09.2008, 13:30 Uhr