Schrecknachrichten sollen den Empfänger dazu verleiten, einen Mailanhang zu öffnen, der einen Trojaner enthält. Haben sie es letztens noch mit Mails von Inkassounternehmen versucht, kommt jetzt die Drohung, das Emailkonto zu sperren…
Und so taucht die einfach gehaltene Mail auf, die Tausende von Leuten empfangen haben und die sich nur in der jeweils verwendeten Emailadresse unterscheidet – die wird immer durch die Adresse des Empfängers ersetzt.
Betreff:
Sperrung Ihrer E-Mail name@domain.de
Mailtext:
Sehr geehrte Damen und Herren,
Ihre Email „name@domain.de“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 99 Beschwerden wegen Spamversand bei uns eingegangen.Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.
Wie eigentlich immer bei solchen Mails werden keine deutschen Umlaute verwendet! Allein das sollte schon Aufmerksamkeit erregen. Außerdem sollte der Absender nicht „Lourdes Tabor“ heißen sondern etwas mit Ihrem Mailanbieter zu tun haben.
An der Mail befindet sich eine Datei namens Hinweis.zip (27.831 Byte), die wiederum den eigentlichen Trojaner Hinweis.exe (40.960 Byte) enthält.
Heute, am 2.12.08, erkennen noch vergleichsweise wenige Virenscanner den Trojaner:
Jotti
A-Squared Win32.Outbreak!IK gefunden
AntiVir TR/Dldr.iBill.BW gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus W32/Trojan-Gypikon-based.BA!Maximus gefunden (mögliche Variante)
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.IDO gefunden
G DATA Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Mal/EncPk-CZ gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
Virustotal
AhnLab-V3 2008.12.2.0 2008.12.02 –
AntiVir 7.9.0.36 2008.12.02 –
Authentium 5.1.0.4 2008.12.02 W32/Trojan-Gypikon-based.BA!Maximus
Avast 4.8.1281.0 2008.12.01 –
AVG 8.0.0.199 2008.12.02 –
BitDefender 7.2 2008.12.02 –
CAT-QuickHeal 10.00 2008.12.02 –
ClamAV 0.94.1 2008.12.02 –
DrWeb 4.44.0.09170 2008.12.02 –
eSafe 7.0.17.0 2008.11.30 –
eTrust-Vet 31.6.6238 2008.12.02 –
Ewido 4.0 2008.12.01 –
F-Prot 4.4.4.56 2008.12.01 W32/Trojan-Gypikon-based.BA!Maximus
F-Secure 8.0.14332.0 2008.12.02 Trojan-Downloader:W32/Agent.IDO
Fortinet 3.117.0.0 2008.12.02 W32/Gypikon.CLF!tr
GData 19 2008.12.02 –
Ikarus T3.1.1.45.0 2008.12.02 Win32.Outbreak
K7AntiVirus 7.10.539 2008.12.01 –
Kaspersky 7.0.0.125 2008.12.02 –
McAfee 5451 2008.12.01 –
McAfee+Artemis 5451 2008.12.01 –
Microsoft 1.4104 2008.12.02 TrojanDropper:Win32/Emold.D
NOD32 3656 2008.12.02 –
Norman 5.80.02 2008.12.01 –
Panda 9.0.0.4 2008.12.02 –
PCTools 4.4.2.0 2008.12.01 –
Prevx1 V2 2008.12.02 –
Rising 21.06.10.00 2008.12.02 –
SecureWeb-Gateway 6.7.6 2008.12.02 Trojan.Dldr.iBill.BW
Sophos 4.36.0 2008.12.02 Mal/EncPk-CZ
Sunbelt 3.1.1832.2 2008.12.01 –
Symantec 10 2008.12.02 Downloader
TheHacker 6.3.1.2.171 2008.12.02 –
TrendMicro 8.700.0.1004 2008.12.02 –
VBA32 3.12.8.9 2008.12.01 –
ViRobot 2008.12.2.1495 2008.12.02 –
VirusBuster 4.5.11.0 2008.12.01 –
Analyse
Der Trojaner legt verschiedene Dateien auf dem befallenen System an.
Im Benutzerprofil: Sperrung.rtf
Unter C:\Programme\Microsoft Common\svchost.exe
Der vermutlich aus Russland stammende Trojaner versucht mehrere Server zu erreichen und dort die Datei
ld.php?v=1&rs=13441600&n=1&uid=1
aufzurufen.
Empfohlene Vorgehensweise
Zuallererst natürlich sollten Sie die Mail einfach löschen! Entpacken Sie nicht Hinweis.zip und wenn doch: Hinweis.exe ist ein Trojaner. Starten Sie die Datei NICHT – auch wenn Sie scheinbar das Icon einer Word-Datei hat.
… und abonnieren Sie meinen kostenlosen Newsletter – um immer früh von solchen Bedrohungen zu erfahren.