Virenkiller.de

22. September 2009

Vorsicht vor angeblicher DHL-Rechnung aus den USA! (Buy.com)

Category: Email,trojaner – virenkiller – 16:30

Der Absender nennt sich “Internet Superstore”. Und angeblich handelt es sich bei der Email um eine Versandbestätigung.

Betreff:
Shipping Confirmation For Order N.3588

Mailtext:
Hi!
Thank you for shopping at our internet store!
We have successfully received your payment.
Your order has been shipped to your billing address.
You have ordered "Asus EeeBox EBXB202".
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
We hope you enjoy your order!
Buy.com
Customer Service.

Und wie nicht anders zu erwarten gibt es auch einen Anhang.

In diesem Fall heißt er z.B. “DHL_INVOICE_76cef5.zip” und diese gezippte Datei enthält ihrerseits eine ausführbare EXE-datei namens DHL_INVOICE_76cef5.exe (65.536 Byte groß), die sich mit einem Word-Icon tarnt.

Eine Menge Virenscanner kennt den Virus.
Aber einige namhafte (wie z.B. Antivir oder Comodo) etwa nicht.

a-squared     4.5.0.24     2009.09.22     Trojan.Win32.Bredolab!IK
Authentium     5.1.2.4     2009.09.21     W32/Bredolab.C.gen!Eldorado
AVG     8.5.0.412     2009.09.22     Packed.Revolt
BitDefender     7.2     2009.09.22     Trojan.Downloader.Bredolab.AM
CAT-QuickHeal     10.00     2009.09.22     Win32.Packed.Krap.w.4
DrWeb     5.0.0.12182     2009.09.22     Trojan.Packed.2915
eTrust-Vet     31.6.6753     2009.09.22     Win32/Bredolab!generic
F-Prot     4.5.1.85     2009.09.21     W32/Bredolab.C.gen!Eldorado
Fortinet     3.120.0.0     2009.09.22     W32/Waledac.X.gen!tr
GData     19     2009.09.22     Trojan.Downloader.Bredolab.AM
Ikarus     T3.1.1.72.0     2009.09.22     Trojan.Win32.Bredolab
Jiangmin     11.0.800     2009.09.22     Pack.Krap.a
McAfee     5748     2009.09.21     Generic PWS.ch
McAfee+Artemis     5748     2009.09.21     Generic PWS.ch
McAfee-GW-Edition     6.8.5     2009.09.22     Heuristic.LooksLike.Trojan.Spy.ZBot.H
Microsoft     1.5005     2009.09.22     VirTool:Win32/Obfuscator.FW
NOD32     4447     2009.09.22     a variant of Win32/Kryptik.AOF
Sophos     4.45.0     2009.09.22     Mal/Bredo-A
Sunbelt     3.2.1858.2     2009.09.22     Trojan.Win32.Bredolab.Gen.1 (v)
Symantec     1.4.4.12     2009.09.22     Packed.Generic.243
TrendMicro     8.950.0.1094     2009.09.22     TROJ_BREDLAB.SMF

Das Ding enthält also keinerlei persönliche Ansprache und ist zudem eine Versandbestätigung für etwas, das man nie bestellt hat. Spätestens hier sollte der gesunde Menschenverstand die Delete-Taste drücken.

Folgende Dateien legt es unter Windows an:

frjacnwrm.dll – 333.888 Bytes
sys.bat – 60 Bytes
sys.dat – 42.496 Bytes

Mit ziemlicher Sicherheit kommt es aus Russland. Es handelt sich um einen Trojaner der die Fernsteuerung des befallenen Rechners zulässt.

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen