Vermeintliche eBay-Mail verweist auf Download-Trojaner

Derzeit kursieren gefälschte E-Mail-Nachrichten des Internet-Auktionshauses eBay, die dem Empfänger ein Geschenk versprechen. Beim Klick auf den angegebenen Link landet der User laut den Antivirus-Experten von G Data auf einer Webseite, die einen hinterlistigen Trojaner-Downloader auf dem Rechner installiert.Absender der E-Mail scheint aufgrund der Adresse fun@ebay.de tatsächlich die Domäne des Auktionshauses zu sein. Auch der angegebene Link http://cgi.ebay.de/ws/eBayISAPI.dll[…] verweist angeblich auf eine rechtmäßige URL. In der html-Ansicht der Nachricht wird allerdings deutlich, dass sie den User auf eine Geocities-Webseite locken soll.

Der Javascript-basierten Trojan-Downloader.JS.Agent.hq startet gleich mehrere gefährliche Aktionen: Zunächst lädt er die Dateien file.exe und lib2.exe auf den infiltrierten Computer. Letztere Datei erzeugt die Bibliotheken sporder.dll und rspv322.dll im Windows-Systemverzeichnis, die von G Datas Antiviren-Kit (AVK) als Worm.Win32.Zhelatin.fx erkannt werden.

Anschließend installiert Zhelatin eine Backdoor, über die weiterer Schadcode ins System gelangen kann. Zum Schutz vor solchen Drive-By-Downloads rät G Data seinen AVK-Nutzern, den HTTP-Filter beim Browsen zu aktivieren. Der Angriff erinnert stark an die jüngsten Vorfälle mit gefälschten Mails von T-Mobile und Otto. Einmal mehr fallen in der E-Mail die ungewöhnliche Wortwahl sowie Fehler bei der Rechtschreibung und Satzstellung auf. In solchen Fällen sollten Anwender die empfangene Nachricht grundsätzlich löschen.

Der genaue Text der Mail lautet: Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/[…] und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.

Quelle: searchsecurity.de

Schreibe einen Kommentar