Virenkiller.de

21. Oktober 2008

Angebliches Statement enthält Virus

Category: trojaner,Virenwarnung – virenkiller – 15:45

Die Virenschleudern versuchen es wieder mal wieder mit dem Trick, ausführbare Exe-Dateien als Word-Doc zu tarnen und sie gleich noch zu zippen.

So landen gerade wieder verstärkt Mails in den Postfächern, die extrem einfach gehalten sind und nur einen kleinen Anhang haben. Darin ist die Rede von einem Anhang, der angeblich ein „Statement“ (eine Stellungnahme) enthält.

Da man selbst sowas kaum erwartet wird diese Anhang vermutlich nur von neugierigen (und sehr dummen) Zeitgenossen geöffnet, die mal ein bißchen in den Daten anderer rumschnüffeln wollen.

Betreff: Statement January – October

Der Mailtext:

There is a file attached to this letter. You can find your report in it.
The report was made today. Detailed report you’ve asked for has been adapted successfully.
Feel free to contact us any time.
Mable

Daran hängt eine ZIP-Datei mit einer Größe von 35.927 Byte mit dem seltsamen Namen

statement.jan,oct.zip

Darin wiederum befindet sich eine Datei, die auf den ersten Blick wie ein Word-Dokument aussieht. Das Icon stimmt und die Endung DOC scheinbar auch. Allerdings kommen hinter diesem „Doc“ noch ganz viele Leerzeichen und dann folgt ein „.exe“.

So heißt die Datei also tatsächlich

Statement_January-October.doc                                            .exe

Bei Virustotal kennen 8 von 36 Scannern das Ding:
AntiVir HEUR/Crypted.E
Authentium W32/Trojan-Gypikon-based.DM!Maximus
eSafe Suspicious File
F-Prot W32/Trojan-Gypikon-based.DM!Maximus
Microsoft Trojan:Win32/Emold.gen!C
Panda Suspicious file
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA
TrendMicro PAK_Generic.001

Bei Jotti schlagen sogar nur 4 Scanner an:
F-Prot Antivirus  W32/Trojan-Gypikon-based.DM!Maximus gefunden (mögliche Variante) 
F-Secure Anti-Virus  Trojan-Downloader:W32/Agent.HVR gefunden 
Ikarus  Win32.Outbreak gefunden 
NOD32  a variant of Win32/TrojanDownloader.FakeAlert.NA gefunden 

Laut Thret-Expert versucht das Ding zwei Adressen auf einem russischen Server zu kontaktieren und unter dem Programmordner eine neue Datei anzulegen

\Microsoft Common\wuauclt.exe (47.616 bytes)

9 Comments

  1. Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
    Vielen, vielen Dank für die Hilfe.

    Kommentar by Andreas — 21. Oktober 2013 @ 18:22

  2. Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.

    Kommentar by virenkiller — 21. Oktober 2013 @ 21:25

  3. Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.

    Kommentar by Andreas — 23. Oktober 2013 @ 07:58

  4. Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.

    http://www.virenkiller.de/onlinevirenscanner/

    Kommentar by virenkiller — 23. Oktober 2013 @ 08:01

  5. Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.

    PS.: Ich finde virenkiller.de echt SUPER!!!

    Kommentar by Andreas — 23. Oktober 2013 @ 09:31

  6. Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
    Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
    Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
    Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
    Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
    S.o.S!

    Kommentar by Scully — 5. Januar 2014 @ 07:14

  7. Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.

    Kommentar by virenkiller — 5. Januar 2014 @ 12:13

  8. Hallo virenkiller,

    ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.

    Kommentar by Anna — 4. Juni 2014 @ 16:34

  9. Hallo Anna,

    ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.

    Kommentar by virenkiller — 4. Juni 2014 @ 18:27

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen