Virenkiller.de – die Hilfe im Kampf gegen Viren

Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.

Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.

Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:

Interessanter Angebot von “Berliner Airlines”

So so, DER Angebot, hmm? :-)

Weiter gehts mit der Radebrecherei:

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  ”Berliener Airlines” eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/

Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…

Die wollen gar nichts verkaufen!

Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.  

OK, was kann man dagegen tun?

Das ist relativ einfach zusammenzufassen:

1. Immer alle aktuellen Updates von Windows/Internet Explorer laden! 
2. Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
3. Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
4. Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
5. Einen Spamfilter benutzen.

Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.

Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)

Nicht besonders fleißig ist der Idiot, der uns gerade mit seinem Versuch überschwemmt, seinen Trojaner loszuwerden.

Mit Absendern, die auf amerikanischen Vornamen und beliebigen Emailadressen bestehen
(z.B. Carly Alvin@c2i.net) und mit spartanischen Betreffs wie

RE: Vertrag
RE: Dokument

schickt er uns eine einzeilige Mail und einen gezippten Anhang, wie etwa 71933.zip.

Mailtext:

Hiermit erhalten Sie die angeforderten Unterlagen
   mfG 

Die gezippte Datei entält den Trojaner (mit eingearbeitetem PDF-Icon) unter dem Namen Vertrag.doc.exe.

Es handelt sich um einen Trojaner der Nurech-Familie, der seinen eigentlichen Schadcode aus dem Internet nachladen will.

Jotti sagt dazu

Man kanns ja mal probieren, dachte sich offensichtlich der Verbreiter eines neuen Virus und tarnte diesen als angebliche Rechnung für ein angeblich gekauftes Antivirenprodukt der Firma Avira.

Das Betreff lautet:

Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten

Absender der Mail ist angeblich:

cleverbridge / Avira GmbH. (mailer@cleverbridge.com)

Auch als:
auto@cleverbridge.com
mailer@cleverbridge.com
automailer@cleverbridge.com
lists@cleverbridge.com
support@cleverbridge.com
tech@cleverbridge.com
cle@cleverbridge.com
maillist@cleverbridge.com

Anhänge an der Mail heißen z.B. 595169.zip und enthalten dann eine ausführbare Datei namens

HBEDV.KEY.exe

Bei dieser hat sich der Programmierer dieses Mal nicht einmal die Mühe gemacht, sie mit einem passenden Icon zu tarnen. Es soll sich hierbei um einen Vollversionskey für “Avira AntiVir PersonalEdition Premium” handeln.

In der Mail befindet sich auch ein Link auf eine PDF-Datei. Dabei handelt es sich tatsächlich um eine PDF-Datei, die eine Rechnung für einen Amerikaner darstellt. (Originallink von Virenkiller.de geändert!)

https://avira.cleverbridge .com/inv oice/4T 602 JI1W TV04A 284FD1/CB -30-94308.pdf

Ganz offensichtlich handelt es sich mal wieder um einen Vertreter der Nurech-Trojanerfamilie.

Der Mailtext:

Vielen Dank für Ihre Bestellung bei cleverbridge.

cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

Ihre cleverbridge Referenznummer: 595169

Zahlungsinformationen

Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von “www.avira.com” erscheinen wird.

Ihre Produkte

Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium – 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner “Eigene Dateien”
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren. Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

 - Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
 - Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter: Avira AntiVir PersonalEdition Premium herunterladen
 - Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner “Eigene Dateien”. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
 - Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen: Installationsanleitung anzeigen

WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.

1 Zuwendung an die Auerbach Stiftung

Ihre Rechnung

Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:

Ihre Rechnung

Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den “Adobe Acrobat Reader”, um es öffen zu können. Sollte der “Adobe Acrobat Reader” nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

Fragen oder Anregungen?

Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.

Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

Mit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam

Pikanterweise kann Antivir selbst derzeit (23.4.2007) den Virus selbst nicht erkennen.

Der Onlinescan bei Jotti ergab:

Und Virustotal fand folgendes:

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Update, 23.4.2007 / 10:20 Uhr
Avira hat schnell mit einem Update reagiert