Virenkiller.de

22. September 2009

Vorsicht vor angeblicher DHL-Rechnung aus den USA! (Buy.com)

Category: Email,trojaner – virenkiller – 16:30

Der Absender nennt sich “Internet Superstore”. Und angeblich handelt es sich bei der Email um eine Versandbestätigung.

Betreff:
Shipping Confirmation For Order N.3588

Mailtext:
Hi!
Thank you for shopping at our internet store!
We have successfully received your payment.
Your order has been shipped to your billing address.
You have ordered "Asus EeeBox EBXB202".
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
We hope you enjoy your order!
Buy.com
Customer Service.

Und wie nicht anders zu erwarten gibt es auch einen Anhang.

In diesem Fall heißt er z.B. “DHL_INVOICE_76cef5.zip” und diese gezippte Datei enthält ihrerseits eine ausführbare EXE-datei namens DHL_INVOICE_76cef5.exe (65.536 Byte groß), die sich mit einem Word-Icon tarnt.

Eine Menge Virenscanner kennt den Virus.
Aber einige namhafte (wie z.B. Antivir oder Comodo) etwa nicht.

a-squared     4.5.0.24     2009.09.22     Trojan.Win32.Bredolab!IK
Authentium     5.1.2.4     2009.09.21     W32/Bredolab.C.gen!Eldorado
AVG     8.5.0.412     2009.09.22     Packed.Revolt
BitDefender     7.2     2009.09.22     Trojan.Downloader.Bredolab.AM
CAT-QuickHeal     10.00     2009.09.22     Win32.Packed.Krap.w.4
DrWeb     5.0.0.12182     2009.09.22     Trojan.Packed.2915
eTrust-Vet     31.6.6753     2009.09.22     Win32/Bredolab!generic
F-Prot     4.5.1.85     2009.09.21     W32/Bredolab.C.gen!Eldorado
Fortinet     3.120.0.0     2009.09.22     W32/Waledac.X.gen!tr
GData     19     2009.09.22     Trojan.Downloader.Bredolab.AM
Ikarus     T3.1.1.72.0     2009.09.22     Trojan.Win32.Bredolab
Jiangmin     11.0.800     2009.09.22     Pack.Krap.a
McAfee     5748     2009.09.21     Generic PWS.ch
McAfee+Artemis     5748     2009.09.21     Generic PWS.ch
McAfee-GW-Edition     6.8.5     2009.09.22     Heuristic.LooksLike.Trojan.Spy.ZBot.H
Microsoft     1.5005     2009.09.22     VirTool:Win32/Obfuscator.FW
NOD32     4447     2009.09.22     a variant of Win32/Kryptik.AOF
Sophos     4.45.0     2009.09.22     Mal/Bredo-A
Sunbelt     3.2.1858.2     2009.09.22     Trojan.Win32.Bredolab.Gen.1 (v)
Symantec     1.4.4.12     2009.09.22     Packed.Generic.243
TrendMicro     8.950.0.1094     2009.09.22     TROJ_BREDLAB.SMF

Das Ding enthält also keinerlei persönliche Ansprache und ist zudem eine Versandbestätigung für etwas, das man nie bestellt hat. Spätestens hier sollte der gesunde Menschenverstand die Delete-Taste drücken.

Folgende Dateien legt es unter Windows an:

frjacnwrm.dll – 333.888 Bytes
sys.bat – 60 Bytes
sys.dat – 42.496 Bytes

Mit ziemlicher Sicherheit kommt es aus Russland. Es handelt sich um einen Trojaner der die Fernsteuerung des befallenen Rechners zulässt.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen