Virenkiller.de

Beim letzten Mal hat es den Virenverteilern scheinbar eine Menge gebracht und so versuchen sie es mit derselben Masche noch einmal.

Zuerst kommt eine unverschämte Email eines Inkassounternehmens. Der Ruf dieser Unternehmen und die Furcht vor ihnen ist übel genug, um auch den ruhigsten Zeitgenossen dazu zu veranlassen, das Schreiben zu öffnen.

Unnötig festzustellen, dass die angeblich absendenden Unternehmen mit dieser Mail gar nichts zu tun haben. Keine erntszunehmende Inkassofirma wählt den Weg einer Email als Mahnung.

In diesem Fall droht angeblich eine Firma namens Regel Inkasso GmbH aus Bielefeld mit fehlenden Zahlungen in vierstelliger Höhe.

Über die genaue Höhe soll man sich mittels einer Liste in einer Datei namens Abrechnung.zip informieren können.

Die Datei enthält wieder einmal den eigentlichen Tojaner sowie eine (scheinbare) Textdatei, die aber eigentlich die Endung LNK (Link) hat. Bei Windowslinks werden die Endungen üblicherweise nicht angezeigt, so dass man sie versehentlich für etwas anderes halten kann.

Klickt man sie an, so rufen sie normalerweise ein Programm auf um es zu starten. In diesem Fall den Trojaner.

Beispiel-Mailtext:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.228267195414 ist erfolgt
Es wurden 6684.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld

Postfach 51 20 05
33698 Bielefeld

Tel.: 0521 93212-0
Fa x: 0521 92412-15

AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377

Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932

Der eigentliche Trojaner ist die Datei scann.a, welche sich ebenfalls in der gezippten Datei befindet.

Wenn man die Grundregeln des gesunden Menschenverstandes befolgt und solche Dateien ignoriert, ist man auf der sicheren Seite.

Nicht jeder Virenscanner erkennt das Ding. Also Vorsicht!

Analyse

IN der Datei Abrechnung.zip (19.710 Byte) befindet sich die Datei abrechnung.lnk sowie ein Verzeichnis namens scann, welches den eigentlichen Virus enthält: scann.a (26.112 Byte).

Wegen der unüblichen Dateiendung .a schlagen Virenscanner erst an, wenn man auf diese Datei zuzugreifen versucht.

Jotti sagt:
A-Squared  Win32.Outbreak!IK gefunden 
AntiVir  TR/Dldr.iBill.BR gefunden 
Avast  Win32:Trojan-gen {Other} gefunden 
BitDefender  Trojan.Agent.ALHD gefunden 
ClamAV  Trojan.Agent-62899 gefunden 
Dr.Web  Trojan.DownLoad.16843 gefunden 
F-Prot Antivirus  W32/Trojan3.LG gefunden 
F-Secure Anti-Virus  Worm:W32/AutoRun.KD, Worm.Win32.AutoRun.svl gefunden 
Kaspersky Anti-Virus  Worm.Win32.AutoRun.svl gefunden 
NOD32  Win32/AutoRun.FakeAlert.AD gefunden 
Norman Virus Control  Keine Viren gefunden
Sophos Antivirus  Troj/Agent-IIJ gefunden 

Und Virustotal findet:
AntiVir – – TR/Dldr.iBill.BR
Authentium – – W32/Trojan3.LG
Avast – – Win32:Trojan-gen {Other}
AVG – – Pakes.ANT
BitDefender – – Trojan.Agent.ALHD
CAT-QuickHeal – – (Suspicious) – DNAScan
ClamAV – – Trojan.Agent-62899
DrWeb – – Trojan.DownLoad.16843
F-Prot – – W32/Trojan3.LG
F-Secure – – Worm.Win32.AutoRun.svl
Fortinet – – W32/Autorun.KD!worm
GData – – Trojan.Agent.ALHD
Ikarus – – Win32.Outbreak
Kaspersky – – Worm.Win32.AutoRun.svl
McAfee – – Spy-Agent.bw
McAfee+Artemis – – Spy-Agent.bw
Microsoft – – TrojanDropper:Win32/Emold.C
NOD32 – – Win32/AutoRun.FakeAlert.AD
Panda – – Generic Trojan
Prevx1 – – Malicious Software
SecureWeb-Gateway – – Trojan.Dldr.iBill.BR
Sophos – – Troj/Agent-IIJ
Symantec – – Downloader
TheHacker – – W32/AutoRun.svl
TrendMicro – – PAK_Generic.001
VirusBuster – – Trojan.Agent.FKIA

Der Trojaner legt die Datei C:\Programme\\Microsoft Common\svchost.exe an. Diese Datei hat dieselbe Größe wie scann.a, es ist also der Trojaner.

Er versucht zwei Server in China zu erreichen und dort die Url
ld.php?v=1&rs=13441600&n=1&uid=1 aufzurufen.

Diese wurden scheinbar von einem Russen registriert. Interessanterweise existiert die zweite Domain nicht einmal.

Folgende Warnmeldung erreichte Virenkiller.de von den Virenforschern der Firma G Data:

Falsche UPS-Benachrichtigung verbreitet Schadsoftware – Vorgebliches Word-Dokument infiziert Anwender-Systeme
Die Experten der G DATA Security Labs warnen vor gefälschten Zustellungsbenachrichtigungen des Paketdienstes UPS.

Im Anhang von Mails, die angeblich von UPS stammen, wird der Empfänger darauf hingewiesen, dass eine Paketsendung nicht zugestellt werden konnte. Der Empfänger wird anschließend aufgefordert, eine im Anhang befindliche Rechnung auszudrucken, um das Paket in Empfang zu nehmen.

Der Anhang, der zunächst den Anschein eines gewöhnlichen Word-Dokuments erweckt, entpuppt sich bei genauerem Hinsehen als ausführbare .EXE-Datei, was allerdings durch die Verwendung eines Word-Icons und die Verschleierung der Dateiendung zunächst nicht ersichtlich ist.

Bei der Datei handelt es sich um einen Downloader, der von einem russischen Server weitere Schadsoftware nachlädt.

Details der E-Mail:
Betreff: Tracking Number [11-stellige Zufallszahl]
Absender: United Postal Services [Unterschiedliche Vornamen]

Nachricht:
—————————————
Unfortunaly we couldn’t carry you the postal parcel sent on 28, October at the right time as there is an incorrect recipient’s address.
To take your package back you should print the copy of invoice that is in the added file
[Unterschiedliche Namen]
Manager UPS
—————————————

Anhang: UPS_letterN314617.zip
enthält:
Datei: UPS_letterN314617.doc[80Leerzeichen].exe, Größe: 34816 Bytes
MD5: B614604C6885A9DD881B90D78020C536

Lädt von russischer Domain weitere Daten.

In der Registry des befallenen Systems werden Änderungen an folgenden Schlüsseln vorgenommen:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion

Die schädlichen Mails werden mittels OutbreakShield-Technologie bereits von allen G DATA-Sicherheitsprodukten erkannt. Die Experten der G DATA Security Labs raten allen Anwendern zu besonderer Vorsicht im Umgang mit unverlangt zugeschickten E-Mail-Anhängen. Diese sollten im Zweifelsfall nicht geöffnet werden. Zudem sollten Betriebssystem, Anwendungssoftware und der Virenschutz Immer auf dem aktuellsten Updatestand gehalten werden.