Mit dem Betreff:
Internet Explorer 7.0 Beta
sowie dem Absender
admin@microsoft.com admin@microsoft.com
trudeln derzeit Viren über uns herein.Die Mail selbst enthält eigentlich nur diese Grafik
Sie verlinkt auf eine nur knapp 4.600 Byte große Datei namens „update.exe“.
Dabei handelt es sich um einen Trojaner, der von einem brasilianischen Server verteilt wird.
- Mail sofort löschen
- Datei nicht anklicken
- Virenscanner updaten!
Der Online-Virenscan von Virustotal meint dazu:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.5.8.1 |
05.08.2007 |
Win-Trojan/Downloader.4608.ET |
| AntiVir |
7.4.0.15 |
05.08.2007 |
TR/Proxy.Agent.CL |
| Authentium |
4.93.8 |
05.07.2007 |
no virus found |
| Avast |
4.7.997.0 |
05.07.2007 |
Win32:Agent-GJR |
| AVG |
7.5.0.467 |
05.07.2007 |
Win32/Grum.B |
| BitDefender |
7.2 |
05.08.2007 |
Trojan.Downloader.Agent.BJO |
| CAT-QuickHeal |
9.00 |
05.07.2007 |
(Suspicious) – DNAScan |
| ClamAV |
devel-20070416 |
05.08.2007 |
Trojan.Downloader-6528 |
| DrWeb |
4.33 |
05.08.2007 |
Trojan.DownLoader.18993 |
| eSafe |
7.0.15.0 |
05.07.2007 |
Win32.Agent.bjo |
| eTrust-Vet |
30.7.3618 |
05.08.2007 |
no virus found |
| Ewido |
4.0 |
05.08.2007 |
Downloader.Agent.bjo |
| FileAdvisor |
1 |
05.08.2007 |
no virus found |
| Fortinet |
2.85.0.0 |
05.08.2007 |
W32/Agent.BJO!tr.dldr |
| F-Prot |
4.3.2.48 |
05.07.2007 |
no virus found |
| F-Secure |
6.70.13030.0 |
05.08.2007 |
Trojan-Downloader.Win32.Agent.bjo |
| Ikarus |
T3.1.1.7 |
05.08.2007 |
Trojan-Downloader.Win32.Agent.bjo |
| Kaspersky |
4.0.2.24 |
05.08.2007 |
Trojan-Downloader.Win32.Agent.bjo |
| McAfee |
5025 |
05.07.2007 |
no virus found |
| Microsoft |
1.2503 |
05.07.2007 |
VirTool:Win32/Obfuscator.F |
| NOD32v2 |
2248 |
05.07.2007 |
Win32/TrojanDownloader.Small.NSS |
| Norman |
5.80.02 |
05.07.2007 |
W32/Agent.BNSS |
| Panda |
9.0.0.4 |
05.07.2007 |
Suspicious file |
| Prevx1 |
V2 |
05.08.2007 |
no virus found |
| Sophos |
4.17.0 |
05.07.2007 |
W32/Grum-B |
| Sunbelt |
2.2.907.0 |
05.05.2007 |
VIPRE.Suspicious |
| Symantec |
10 |
05.08.2007 |
Downloader |
| TheHacker |
6.1.6.109 |
05.08.2007 |
Trojan/Downloader.Agent.bjo |
| VBA32 |
3.12.0 |
05.08.2007 |
suspected of Trojan-PSW.Pinch.1 (paranoid heuristics) |
| VirusBuster |
4.3.7:9 |
05.07.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
05.08.2007 |
Trojan.Proxy.Agent.CL |
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Es kursiert eine virenverseuchte Mail, die vorgibt, aufgrund einer Durchsuchung des Rechners mit dem sogenannten Bundestrojaner illegale Daten aus Tauschbörsennutzung gefunden zu haben.
Betreff:
Aktenzeichen [57940995]
Aktenzeichen [08038143]
Onlinedurchsuchung NR-[90587231]
Aktenzeichen [zufällige Zahl]
Mailtext:
Sehr geehrter Internetnutzer,im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.
IP: 81.187.113.176
Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.
Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com
An der Mail befindet sich ein Anhang namens
nr-[57940995].zip (NR-[08038143].zip) (Die Zahl korrespondeirt immer mit der im Betreff)der wiederum die Datei „Aktenzeichen.exe“ beinhaltet (mit Icon einer PDF-Datei)
Antivir kennt ihm am 5.5.07 nicht… Während die Onlineversion einen Trojaner erkennt.Jotti sagt:
| Datei: |
Aktenzeichen.exe |
| Auslastung: |
|
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
| Entdeckte Packprogramme: |
–
|
| |
| A-Squared |
Keine Viren gefunden
|
| AntiVir |
TR/Dldr.iBill.AP gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Trojan.Fakebill-1 gefunden
|
| Dr.Web |
DLOADER.Trojan gefunden (mögliche Variante)
|
| F-Prot Antivirus |
W32/Downloader.gen2 gefunden
|
| F-Secure Anti-Virus |
Keine Viren gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.bm gefunden
|
| NOD32 |
a variant of Win32/TrojanDownloader.Nurech.BG gefunden
|
| Norman Virus Control |
Keine Viren gefunden
|
| Panda Antivirus |
Keine Viren gefunden
|
| Rising Antivirus |
Keine Viren gefunden
|
| VirusBuster |
Keine Viren gefunden
|
| VBA32 |
Keine Viren gefunden
|
Virustotal sagt:
| Antivirus |
Version |
Update |
Result |
| AhnLab-V3 |
2007.5.4.0 |
05.04.2007 |
no virus found |
| AntiVir |
7.4.0.15 |
05.05.2007 |
TR/Dldr.iBill.AP |
| Authentium |
4.93.8 |
05.04.2007 |
W32/Downloader.gen2 |
| Avast |
4.7.997.0 |
05.05.2007 |
no virus found |
| AVG |
7.5.0.467 |
05.04.2007 |
no virus found |
| BitDefender |
7.2 |
05.05.2007 |
no virus found |
| CAT-QuickHeal |
9.00 |
05.05.2007 |
no virus found |
| ClamAV |
devel-20070416 |
05.05.2007 |
Trojan.Fakebill-1 |
| DrWeb |
4.33 |
05.04.2007 |
DLOADER.Trojan |
| eSafe |
7.0.15.0 |
05.03.2007 |
no virus found |
| eTrust-Vet |
30.7.3614 |
05.04.2007 |
no virus found |
| Ewido |
4.0 |
05.05.2007 |
no virus found |
| FileAdvisor |
1 |
05.05.2007 |
no virus found |
| Fortinet |
2.85.0.0 |
05.05.2007 |
no virus found |
| F-Prot |
4.3.2.48 |
05.04.2007 |
W32/Downloader.gen2 |
| F-Secure |
6.70.13030.0 |
05.05.2007 |
no virus found |
| Ikarus |
T3.1.1.7 |
05.05.2007 |
no virus found |
| Kaspersky |
4.0.2.24 |
05.05.2007 |
Trojan-Downloader.Win32.Nurech.bm |
| McAfee |
5024 |
05.04.2007 |
no virus found |
| Microsoft |
1.2503 |
05.05.2007 |
TrojanDownloader:Win32/Nurech.gen!B |
| NOD32v2 |
2242 |
05.05.2007 |
a variant of Win32/TrojanDownloader.Nurech.BG |
| Norman |
5.80.02 |
05.04.2007 |
no virus found |
| Panda |
9.0.0.4 |
05.04.2007 |
Suspicious file |
| Prevx1 |
V2 |
05.05.2007 |
no virus found |
| Sophos |
4.17.0 |
05.04.2007 |
Mal/Behav-105 |
| Sunbelt |
2.2.907.0 |
05.05.2007 |
no virus found |
| Symantec |
10 |
05.05.2007 |
no virus found |
| TheHacker |
6.1.6.104 |
04.15.2007 |
no virus found |
| VBA32 |
3.11.4 |
05.04.2007 |
no virus found |
| VirusBuster |
4.3.7:9 |
05.04.2007 |
no virus found |
| Webwasher-Gateway |
6.0.1 |
05.05.2007 |
Win32.NewMalware.FA!20480!3 |
Diese Mail ist Unsinn, die IP ist aus England, ein LKA-Mitarbeiter mit AOL-Emailadresse?!
Einfach löschen…
Recht primitiv gemacht, aber dennoch für den einen oder anderen Neugierigen gefährlich ist eine neue gefälschte Rechnung. Dieses mal stammt sie angeblich von der Firma Mindfactory AG (shop@mindfactory.de).
Der Text ist ähnlich sparsam wie in ähnlichen Mails letzter Zeit. Allerdings hängt an dieser Mail weder ein Virus noch eine Grafik. Vielmehr handelt es sich wieder einmal um den Versuch, ein Exploit des Internet Explorers beim Besucher zu installieren. Es handelt sich um das selbe Script auf demselben Malaisischen Server wie bereits unter http://www.virenkiller.de/archives/43 beschrieben.
Betreff:
Betreff: Vielen Dank fur den Kauf
Text der Mail:
Guten Tag! Vielen Dank für den Kauf in unserem Shop. Es wurde von Ihrem Konto der Betrag in Höhe von EUR 147 abgebucht. Die Kontobilanz sowie den Kaufzettel können Sie hier abrufen: http://geocities.com/xxxxxxxxxgelöscht
Auch hier geht es auf den verseuchten Server 203.223.158.26
Beim Besuch des Links bekommt man eine gefälschte Fehlermeldung präsentiert. Das Virenscript installiert sich über einen 1 Pixel großen iFrame.
Heise berichtete über diese Mails unter http://www.heise.de/newsticker/meldung/89203