Derzeit versuchen es die Virenverbreiter mal wieder in Deutschland, indem sie angebliche UPS-Lieferscheine in ZIP-Dateien verpackt, per Email versenden. In diesen ZIPs befindet sich dann eine ausführbare Datei(!).
Fragen Sie sich doch bitte folgendes:
- Woher soll UPS Ihre Emailadresse haben?
- Warum enthält die Email keinerlei Telefonnummern und Kontaktdaten?
- Was soll ein Lieferschein zum Ausdrucken als EXE-Datei?
- Warum hat eine Email von UPS einen Absender wie wkselke@bloodstockhorses.com?
Betreff: Ihr UPS Paket N4717233433
Hier der Text der Mail:
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
und holen Sie ihr Paket bei uns ab.
Mit freundlichen Grussen,
Ihre UPS
Interessant ist auch hier mal wieder das Fehlen von Umlauten wie in „Empfangers und Grussen“. Auch Fehler wie „leider konnten wir ihren Paket“ deuten auf ausländische Verursacher hin.
Vermutlich verbreitet sich das Teil über befallene Rechner. Ich erhielt mein Exemplar von der T-Online IP 87.139.69.214 aus Offenbach.
Der Anhang heißt (in meinem Fall) etwa: UPS_Lieferschein_8102.zip und enthält die Datei UPS_Lieferschein.exe (8.192 Byte)
Die meisten Virenscanner erkennen Ihn.
Diese Warnungen versende ich auch per Email!
In meinem kostenlosen Newsletter.
Hier die Ergebnisse von Jotti und Virustotal:
A-Squared Keine Viren gefunden
AntiVir TR/Dldr.Tiny.brm gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Tiny-UR gefunden
AVG Antivirus SHeur.BWIM gefunden
BitDefender Trojan.Downloader.Gadja.C gefunden
ClamAV Trojan.Agent-30547 gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan-Downloader:W32/Small.GZA, Trojan-Downloader.Win32.Tiny.brm gefunden
Fortinet Keine Viren gefunden
Ikarus Trojan-Downloader.Win32.Tiny.brm gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Obitel.a gefunden
NOD32 Win32/TrojanDownloader.Tiny.NDM gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Troj/Agent-HFU gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
AhnLab-V3 2008.7.11.0 2008.07.11 –
AntiVir 7.8.0.64 2008.07.14 TR/Dldr.Tiny.brm
Authentium 5.1.0.4 2008.07.13 W32/Trojan2.ATAB
Avast 4.8.1195.0 2008.07.14 Win32:Tiny-UR
AVG 7.5.0.516 2008.07.14 SHeur.BWIM
BitDefender 7.2 2008.07.14 Trojan.Downloader.Gadja.C
CAT-QuickHeal 9.50 2008.07.11 (Suspicious) – DNAScan
ClamAV 0.93.1 2008.07.14 Trojan.Agent-30547
DrWeb 4.44.0.09170 2008.07.14 –
eSafe 7.0.17.0 2008.07.13 –
eTrust-Vet 31.6.5954 2008.07.14 Win32/SillyDl.EUC
Ewido 4.0 2008.07.13 –
F-Prot 4.4.4.56 2008.07.13 –
F-Secure 7.60.13501.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Fortinet 3.14.0.0 2008.07.14 –
GData 2.0.7306.1023 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Ikarus T3.1.1.26.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Kaspersky 7.0.0.125 2008.07.14 Trojan-Downloader.Win32.Obitel.a
McAfee 5337 2008.07.11 –
Microsoft 1.3704 2008.07.14 Trojan:Win32/Agent.EE
NOD32v2 3265 2008.07.14 Win32/TrojanDownloader.Tiny.NDM
Norman 5.80.02 2008.07.11 –
Panda 9.0.0.4 2008.07.13 Suspicious file
Prevx1 V2 2008.07.14 Malware Downloader
Rising 20.53.02.00 2008.07.14 –
Sophos 4.31.0 2008.07.14 Troj/Agent-HFU
Sunbelt 3.1.1536.1 2008.07.12 –
Symantec 10 2008.07.14 Downloader
TheHacker 6.2.96.378 2008.07.13 –
TrendMicro 8.700.0.1004 2008.07.14 PAK_Generic.001
VBA32 3.12.6.9 2008.07.13 –
VirusBuster 4.5.11.0 2008.07.13 –
Webwasher-Gateway 6.6.2 2008.07.14 Trojan.Dldr.Tiny.brm