Eine bekannte Masche hat noch nicht ausgedient: Trojanisches Pferd in angeblicher Rechnung.
Seit letzten Freitag werden zum wiederholten Mal angebliche Rechnungen oder Zahlungserinnernungen verschickt, die vorgeblich von Ebay kommen. Im Januar wurden ähnliche Mails im Namen des Computer-Versandhändlers Dell und einer kleiner Computerfirma aus Eschweiler verbreitet.
Die gefälschten Absenderangaben der Mails reichen von "eBay Collections" über "eBay Finance" bis "EBay Kundensupport". Der Betreff lautet zum Beispiel "14 Tage bis Ihre Kontosperrung" oder "Ihre Ebay.de Gebuehren". Der Text verweist auf den Anhang der Mail, den man ausdrucken solle.
Dieser Anhang ist 20.480 Byte groß, trägt den Dateinamen "Ebay-Rechnung.pdf.exe" und ein PDF-Symbol. Es handelt sich um ein Trojanisches Pferd vom Typ "Trojan-Downloader". Es kopiert sich als "ipfw.exe" in das System32-Verzeichnis von Windows und trägt sich in die Registry ein, damit es beim Windows-Start automatisch geladen wird.
Außerdem legt es im Verzeichnis "drivers" unterhalb Windows\System32 eine Datei "winut.dat" an. Diese enthält eine Reihe von Web-Adressen, von wo der Schädling Textdateien mit verschleierten Download-Adressen herunter lädt. Auf diese Weise bezieht er eine Datei "1.exe" von einem Server in der Schweiz. Diese gehört zur Familie der "Sicklebots" und versucht Kontakt zu einem russischem Server aufzunehmen.
Erkennung durch Antivirus-Software:
|
Antivirus |
Ebay-Rechnung.pdf.exe |
1.exe |
|
AntiVir |
Tr/Dldr.Small.cig.1 |
Tr/Dldr.Small.cig.2 |
|
Avast! |
-/- |
-/- |
|
AVG |
Downloader.Generic.QUC |
Downloader.Generic.QUD |
|
BitDefender |
Trojan.Downloader.Small.IN |
Dropped:Trojan.Downloader.Small.Gen |
|
ClamAV |
Trojan.Downloader.Small-1011 |
Trojan.Downloader.Small-1012 |
|
Command AV |
W32/Downloader.NAO |
-/- |
|
Dr Web |
Trojan.DownLoader.6755 |
Trojan.DownLoader.6746 |
|
eSafe |
Win32.Yabe.j |
Trojan/Worm [101] |
|
eTrust-INO |
Win32/SillyDL.20480!Trojan |
-/- |
|
eTrust-VET |
Win32/DlWreck.X |
Win32/DlWreck!generic |
|
Ewido |
Downloader.Small.cig |
Downloader.Small.cil |
|
F-Prot |
W32/Downloader.NAO |
-/- |
|
F-Secure |
Trojan-Downloader.Win32.Small.cig |
Trojan-Downloader.Win32.Small.cil |
|
Fortinet |
W32/Agent.UK!dldr |
W32/Agent.UK!dr |
|
Ikarus |
Trojan-Downloader.Win32.Agent.UE |
-/- |
|
Kaspersky |
Trojan-Downloader.Win32.Small.cig |
Trojan-Downloader.Win32.Small.cil |
|
McAfee |
-/- (Downloader-AAP)* |
-/- |
|
Nod32 |
Win32/TrojanDownloader.Agent.UF |
Win32/TrojanDownloader.Sickob.C |
|
Norman |
-/- |
-/- |
|
Panda |
Trj/Downloader.HMX |
Suspicious file |
|
Sophos |
Troj/Clagger-F |
Troj/Sickbt-B |
|
Symantec |
Download.Trojan |
Download.Trojan |
|
Trend Micro |
TROJ_YABE.J |
TROJ_DROPPER.AFM |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 06.02.06, 14:00 Uhr
Quelle: www.pcwelt.de