Angeblich kommt die Email von Elena, mit der Emailadresse messages@datearea.de.
Elena schreibt auf Englisch und teilt uns mit, dass sie unser Profil auf einem Kontaktportal gefunden hat.
Tatsächlich hat Elena aber scheinbar einen Server in den USA gekapert, um von dort ihre Spammails abzusetzen.
Betreff: Message from Elena
Nachricht
Hello my new friend!
My name is Elena.
how are you? I hope you are fine!
I have found your profile and e-mail on dating site.
As for me I want to find my love.
If you are interested, answer me and we can begin our acquaintance.
So let me tellsome words about me. I am was born 20 OCT 1982.
I want to find someone who can love me and i can love. I looked your
profile and read information about you
and what you want to see in a woman of your choice.
And i believe, i can have all parts of what you want in soulmate, out of
thousands of people that is me, i find you to be my true choice and i
hope that you should feel the same way too.
It’s really wonderful moment as I am writing this letter to you
and i pray that i should hear good and sweat reply from you.
You are far from me but i belief that there’s nothing that love can not do.
I belief love can move mountain and love turns around person’s life to
precious life and sweet one.
Ok, i wish that you will write me and lets have more
discussions and get to know more about each other.
My new friend I ask you to write to my e-mail:
elena_sweety@ gelöscht .com
My photo:
http:// gelöscht.com/files/317889853/foto.zip.html
http:// gelöscht.com/files/aftjxr79k
http:// www.gelöscht.com/file/ecqdh4
I will be great to read marvellous letter from you.
Hoping for God of love and in power of love I would like to hear from you.
Thanks for the reading.
Elena.
Das auf drei Servern angebotene angebliche Foto von Elena ist eine Zip-Datei namens foto.zip. Die Datei ist 10.708 Byte groß.
Sie enthält aber kein Foto, sondern eine ausführbare EXE-Datei namens myfoto.exe (23.040 Byte).
Und diese ist – wie sollte es anders sein – ein Trojaner.
Das Programm legt auf dem befallenen Rechner mehrere Dateien an, nimmt Kontakt zu einem Server auf und lädt von dort Dateien nach.
Sophos kennt das Ding als Mal/EncPk-FX.
Sehr wenige Programme erkennen die Bedrohung zurzeit:
a-squared 4.5.0.43 2009.12.08 Trojan.Win32.FakeAV!IK
Comodo 3103 2009.12.01 Heur.Packed.Unknown
Ikarus T3.1.1.74.0 2009.12.08 Trojan.Win32.FakeAV
Kaspersky 7.0.0.125 2009.12.08 Packed.Win32.Krap.w
Norman 6.03.02 2009.12.07 W32/Obfuscated.EA
Sunbelt 3.2.1858.2 2009.12.08 Trojan.Win32.Bredolab.Gen.1 (v)
Wie man sieht, sind die einige der bekanntesten Programme nicht darunter!
Infos dazu findet man u.a. hier
http://www.threatexpert.com/report.aspx?md5=6327cc97797c63ec346c875d2241d2bc
Der Absender nennt sich “Internet Superstore”. Und angeblich handelt es sich bei der Email um eine Versandbestätigung.
Betreff:
Shipping Confirmation For Order N.3588
Mailtext:
Hi!
Thank you for shopping at our internet store!
We have successfully received your payment.
Your order has been shipped to your billing address.
You have ordered "Asus EeeBox EBXB202".
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
We hope you enjoy your order!
Buy.com
Customer Service.
Und wie nicht anders zu erwarten gibt es auch einen Anhang.
In diesem Fall heißt er z.B. “DHL_INVOICE_76cef5.zip” und diese gezippte Datei enthält ihrerseits eine ausführbare EXE-datei namens DHL_INVOICE_76cef5.exe (65.536 Byte groß), die sich mit einem Word-Icon tarnt.
Eine Menge Virenscanner kennt den Virus.
Aber einige namhafte (wie z.B. Antivir oder Comodo) etwa nicht.
a-squared 4.5.0.24 2009.09.22 Trojan.Win32.Bredolab!IK
Authentium 5.1.2.4 2009.09.21 W32/Bredolab.C.gen!Eldorado
AVG 8.5.0.412 2009.09.22 Packed.Revolt
BitDefender 7.2 2009.09.22 Trojan.Downloader.Bredolab.AM
CAT-QuickHeal 10.00 2009.09.22 Win32.Packed.Krap.w.4
DrWeb 5.0.0.12182 2009.09.22 Trojan.Packed.2915
eTrust-Vet 31.6.6753 2009.09.22 Win32/Bredolab!generic
F-Prot 4.5.1.85 2009.09.21 W32/Bredolab.C.gen!Eldorado
Fortinet 3.120.0.0 2009.09.22 W32/Waledac.X.gen!tr
GData 19 2009.09.22 Trojan.Downloader.Bredolab.AM
Ikarus T3.1.1.72.0 2009.09.22 Trojan.Win32.Bredolab
Jiangmin 11.0.800 2009.09.22 Pack.Krap.a
McAfee 5748 2009.09.21 Generic PWS.ch
McAfee+Artemis 5748 2009.09.21 Generic PWS.ch
McAfee-GW-Edition 6.8.5 2009.09.22 Heuristic.LooksLike.Trojan.Spy.ZBot.H
Microsoft 1.5005 2009.09.22 VirTool:Win32/Obfuscator.FW
NOD32 4447 2009.09.22 a variant of Win32/Kryptik.AOF
Sophos 4.45.0 2009.09.22 Mal/Bredo-A
Sunbelt 3.2.1858.2 2009.09.22 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.09.22 Packed.Generic.243
TrendMicro 8.950.0.1094 2009.09.22 TROJ_BREDLAB.SMF
Das Ding enthält also keinerlei persönliche Ansprache und ist zudem eine Versandbestätigung für etwas, das man nie bestellt hat. Spätestens hier sollte der gesunde Menschenverstand die Delete-Taste drücken.
Folgende Dateien legt es unter Windows an:
frjacnwrm.dll – 333.888 Bytes
sys.bat – 60 Bytes
sys.dat – 42.496 Bytes
Mit ziemlicher Sicherheit kommt es aus Russland. Es handelt sich um einen Trojaner der die Fernsteuerung des befallenen Rechners zulässt.
Beim letzten Mal hat es den Virenverteilern scheinbar eine Menge gebracht und so versuchen sie es mit derselben Masche noch einmal.
Zuerst kommt eine unverschämte Email eines Inkassounternehmens. Der Ruf dieser Unternehmen und die Furcht vor ihnen ist übel genug, um auch den ruhigsten Zeitgenossen dazu zu veranlassen, das Schreiben zu öffnen.
Unnötig festzustellen, dass die angeblich absendenden Unternehmen mit dieser Mail gar nichts zu tun haben. Keine erntszunehmende Inkassofirma wählt den Weg einer Email als Mahnung.
In diesem Fall droht angeblich eine Firma namens Regel Inkasso GmbH aus Bielefeld mit fehlenden Zahlungen in vierstelliger Höhe.
Über die genaue Höhe soll man sich mittels einer Liste in einer Datei namens Abrechnung.zip informieren können.
Die Datei enthält wieder einmal den eigentlichen Tojaner sowie eine (scheinbare) Textdatei, die aber eigentlich die Endung LNK (Link) hat. Bei Windowslinks werden die Endungen üblicherweise nicht angezeigt, so dass man sie versehentlich für etwas anderes halten kann.
Klickt man sie an, so rufen sie normalerweise ein Programm auf um es zu starten. In diesem Fall den Trojaner.
Beispiel-Mailtext:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.228267195414 ist erfolgt
Es wurden 6684.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fa x: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Der eigentliche Trojaner ist die Datei scann.a, welche sich ebenfalls in der gezippten Datei befindet.
Wenn man die Grundregeln des gesunden Menschenverstandes befolgt und solche Dateien ignoriert, ist man auf der sicheren Seite.
Nicht jeder Virenscanner erkennt das Ding. Also Vorsicht!
Analyse
IN der Datei Abrechnung.zip (19.710 Byte) befindet sich die Datei abrechnung.lnk sowie ein Verzeichnis namens scann, welches den eigentlichen Virus enthält: scann.a (26.112 Byte).
Wegen der unüblichen Dateiendung .a schlagen Virenscanner erst an, wenn man auf diese Datei zuzugreifen versucht.
Jotti sagt:
A-Squared Win32.Outbreak!IK gefunden
AntiVir TR/Dldr.iBill.BR gefunden
Avast Win32:Trojan-gen {Other} gefunden
BitDefender Trojan.Agent.ALHD gefunden
ClamAV Trojan.Agent-62899 gefunden
Dr.Web Trojan.DownLoad.16843 gefunden
F-Prot Antivirus W32/Trojan3.LG gefunden
F-Secure Anti-Virus Worm:W32/AutoRun.KD, Worm.Win32.AutoRun.svl gefunden
Kaspersky Anti-Virus Worm.Win32.AutoRun.svl gefunden
NOD32 Win32/AutoRun.FakeAlert.AD gefunden
Norman Virus Control Keine Viren gefunden
Sophos Antivirus Troj/Agent-IIJ gefunden
Und Virustotal findet:
AntiVir – - TR/Dldr.iBill.BR
Authentium – - W32/Trojan3.LG
Avast – - Win32:Trojan-gen {Other}
AVG – - Pakes.ANT
BitDefender – - Trojan.Agent.ALHD
CAT-QuickHeal – - (Suspicious) – DNAScan
ClamAV – - Trojan.Agent-62899
DrWeb – - Trojan.DownLoad.16843
F-Prot – - W32/Trojan3.LG
F-Secure – - Worm.Win32.AutoRun.svl
Fortinet – - W32/Autorun.KD!worm
GData – - Trojan.Agent.ALHD
Ikarus – - Win32.Outbreak
Kaspersky – - Worm.Win32.AutoRun.svl
McAfee – - Spy-Agent.bw
McAfee+Artemis – - Spy-Agent.bw
Microsoft – - TrojanDropper:Win32/Emold.C
NOD32 – - Win32/AutoRun.FakeAlert.AD
Panda – - Generic Trojan
Prevx1 – - Malicious Software
SecureWeb-Gateway – - Trojan.Dldr.iBill.BR
Sophos – - Troj/Agent-IIJ
Symantec – - Downloader
TheHacker – - W32/AutoRun.svl
TrendMicro – - PAK_Generic.001
VirusBuster – - Trojan.Agent.FKIA
Der Trojaner legt die Datei C:\Programme\\Microsoft Common\svchost.exe an. Diese Datei hat dieselbe Größe wie scann.a, es ist also der Trojaner.
Er versucht zwei Server in China zu erreichen und dort die Url
ld.php?v=1&rs=13441600&n=1&uid=1 aufzurufen.
Diese wurden scheinbar von einem Russen registriert. Interessanterweise existiert die zweite Domain nicht einmal.