Derzeit erreichen uns Spam-Mails, in denen (englisch) für kostenlose Screensaver (Bildschirmschoner) geworben wird.
Das gefährliche daran ist u.a., dass die Erkennungsrate der üblichen Virenscanner extrem schlecht ist.
Selbst Kaspersky, gern als Maß aller Dinge betrachtet, schätzt die Dateien als harmlos ein.
Doch einige der Virenkiller sehen das auch anders und deklarieren die „Geschenke“ definitiv als Trojaner.
Betreff der Mails
Mit Betreffs wie
Elias best ScreenSa\/er for you
Eloy beSt $creenSaVer for you
versucht die Mail unsere Aufmerksamkeit zu bekommen. Interessant daran ist, dass der Name mit dem Namen des angeblichen Absenders korrespondiert.
Mailtext
Die Mailtexte sind einfach gehalten. Erwas Text – durchsetzt mit Sonderzeichen – und ein einzelner Link.
Free 3D screen$aver
The New collection of $creensavers.
*Downlo@d. now!
Cllck
here (Link entfernt!)
Miserable Erkennungsrate
Bereits beim Besuch der Seite wird von einem Virenscanner der Versuch gemeldet, einen HTML-Scriptvirus auszuführen. Die Seite selbst ist einigermaßen professionell gemacht und wirkt tatsächlich wie eine thematisch sortierte Screensaver-Sammlung.
Jotti sagt dazu:
A-Squared :Keine Viren gefunden
AntiVir :Keine Viren gefunden
ArcaVir :Keine Viren gefunden
Avast :Keine Viren gefunden
AVG Antivirus :Keine Viren gefunden
BitDefender :Trojan.Crypt.AI gefunden
ClamAV :Keine Viren gefunden
CPsecure:Keine Viren gefunden
Dr.Web :Trojan.Click.origin gefunden
F-Prot Antivirus :Keine Viren gefunden
F-Secure Anti-Virus :Keine Viren gefunden
Fortinet :Keine Viren gefunden
Ikarus :Keine Viren gefunden
Kaspersky Anti-Virus :Keine Viren gefunden
NOD32 :probably a variant of Win32/PSW.Agent.NHG gefunden (mögliche Variante)
Norman Virus Control :Keine Viren gefunden
Panda Antivirus :Keine Viren gefunden
Rising Antivirus :Keine Viren gefunden
Sophos Antivirus: Keine Viren gefunden
VirusBuster :Keine Viren gefunden
VBA32 :Keine Viren gefunden
Folgendes meldet Virustotal
BitDefender: Trojan.Crypt.AI
CAT-QuickHeal: (Suspicious) – DNAScan
Ikarus: Trojan-Downloader.Agent.AGL
Kaspersky: Trojan-Downloader.Win32.Small.ths
Microsoft: Backdoor:Win32/Koceg.gen!A
NOD32v2: probably a variant of Win32/PSW.Agent.NHG
Panda: Suspicious file
Prevx1: Heuristic: Suspicious Self Modifying File
Webwasher-Gateway: Worm.Win32.Malware.gen (suspicious)
Empfehlung und Hinweis
Was viele vielleicht gar nicht wissen: Windows-Bildschirmschoner sind im Grunde erst einmal nichts anderes als ausführbare Programme. Tatsächlich könnte man sie sogar starten, wenn man die Dateiendung von .scr auf .exe ändert.
Es empfiehlt sich also grundsätzlich, bei Bildschirmschonern die man aus dem Internet oder per Mail bekommt, Vorsicht walten zu lassen.
Eventuell sollten Sie solche „Geschenke“ erst einmal online scannen. Denn selten trifft so wie hier der Name „trojanisches Pferd“ zu…
Um zukünftig bei solchen Gefahren frühzeitig gewarnt zu sein, tragen Sie sich in meinen kostenlosen Newsletter ein.
Die Volksbank-Phisher versuchen es mal wieder!
Angeblich muss man mal wieder seine Kundendaten ausfüllen. Dazu wird man angeblich auf eine Seite der Volksbank gebeten.
Tatsächlich wird aber eine chinesische Webadresse aufgerufen, die dem Besucher ein Formular zum Ausfüllen präsentiert.
Bereits mit dem Text der Mail haben die – vermutlich nicht deutschen – Idioten Probleme. Und auch das Formular ist nicht in der Lage, Umlaute korrekt darzustellen.
Betreff
Neuer Zugang zum Online-Banking
Der Mailtext
HTML-Version:
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken möchte Sie bitten,
die Formular zur Bestätigung der Kundendaten auszufüllen.
Das Ausfüllen dieses Formulars ist obligatorisch für alle Bankkunden.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestätigen. Bitte füllen Sie dieses Formular vollständig aus.
http://www.vr-networld.de/DEGCB/JPS/portal/Index.do
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen für Ihre Mithilfe.
***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Reiner Text (Umlautprobleme)
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Volksbanken Raiffeisenbanken mochte Sie bitten,
die Formular zur Bestatigung der Kundendaten auszufullen.
Das Ausfullen dieses Formulars ist obligatorisch fur alle Bankkunden.
Wir mochten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten
zu bestatigen. Bitte fullen Sie dieses Formular vollstandig aus.
http://www.volksbank.deinst31.cn/DEGCB/JPS/portal/Index.do
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken
Ihnen fur Ihre Mithilfe.
***** Bitte antworten sie nicht auf diese mail *****
Diese Nachricht wurde automatisch generiert
Tatsächlich geht es zu:
http://vr-networld.de.firu10.cn/DEGCB/JPS/gad
einer chinesischen Adresse auf einem rumänischen Server.
Vorsicht, weiterlesen. Könnte Exploit im iFrame enthalten!!!
Firefox erkennt die Phishing-Attacke sofort!
Warnung
Die oben genannte Seite enthält noch einen 1-Pixel großen iFrame, welcher zu einem Server in Hong Kong führt. Der könnte ein Exploit beinhalten!
Verhaltensregel
Ihre Bank wird Sie niemals auffordern, ihre Daten auf so einer Seite einzugeben. NIEMALS! Ignorieren Sie solche Mails. Löschen Sie sie. Gucken Sie NICHT aus Neugier nach, was sich dahinter verbirgt!
Wieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.
Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.
Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/
Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:
Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.
Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als „Zhelatin“ benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.
Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecard
Mailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard
Scan-Ergebnis bei Virustotal
AntiVir
Worm/Zhelatin.pc
AVG
I-Worm/Nuwar.N
BitDefender
Trojan.Peed.IWX
CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg
ClamAV
Trojan.Peed-130
DrWeb
Trojan.Packed.357
eSafe
Suspicious File
eTrust-Vet
Win32/Sintun!generic
Fortinet
W32/PackTibs.M
F-Prot
W32/Zhelatin.F.gen!Eldorado
F-Secure
Email-Worm.Win32.Zhelatin.vg
Ikarus
Trojan.Peed.IWV
Kaspersky
Email-Worm.Win32.Zhelatin.vg
McAfee
W32/Nuwar@MM
Microsoft
TrojanDropper:Win32/Nuwar.gen!B
NOD32v2
probably a variant of Win32/Nuwar.Gen
Sophos
W32/Dorf-AX
Symantec
Trojan.Peacomm
VBA32
Email-Worm.Win32.Zhelatin.vg
VirusBuster
Worm.DR.Zhelatin.Gen.4
Webwasher-Gateway
Worm.Zhelatin.pc