Unter einem Betreff wie
DHL Services. You should get the parcel NR.93835
erreicht zur Zeit viele Leute eine angebliche Benachrichtigung des Paketdienstes DHL, der sie darüber informieren soll, dass ein Paket angeblich nicht zugestellt werden konnte. (Und es gibt Menschen die so blöde sind, dass sie annehmen, DHL wüßte ihre Emailadresse?!?)
Hello!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox.
Thank you,
DHL Global Forwarding Services.
An dieser Mail hängt eine Zip-Datei mit Bezeichnungen wie “dhl_print_label_c234a.zip” (23.321 Byte). Diese wiederum enthält eine ausführbare Exe-Datei mit Namen wie “DHL_print_label_c234a.exe” (29.696 Byte)
Viele Virenscanner (wie etwa Antivir) reagieren noch nicht darauf. Andere erkennen ihn aber bereist und geben ihm einen Namen. Es scheint sich wieder mal um einen Vertreter der Familie Bredolab zu handeln. [Siehe hier]
Hier eine Liste der Scanner die sicher sind:
Authentium 5.1.2.4 2009.10.27 W32/Bredolab!Generic
BitDefender 7.2 2009.10.27 Trojan.Downloader.Bredolab.AZ
Comodo 2744 2009.10.27 Heur.Packed.Unknown
eSafe 7.0.17.0 2009.10.25 Suspicious File
F-Secure 9.0.15370.0 2009.10.22 Trojan.Downloader.Bredolab.AZ
GData 19 2009.10.27 Trojan.Downloader.Bredolab.AZ
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee+Artemis 5783 2009.10.26 Artemis!815C8DD61EDF
Microsoft 1.5202 2009.10.27 TrojanDownloader:Win32/Bredolab.X
Norman 6.03.02 2009.10.26 W32/Obfuscated.D2!genr
Panda 10.0.2.2 2009.10.26 Suspicious file
Prevx 3.0 2009.10.27 Medium Risk Malware
Sophos 4.46.0 2009.10.27 Mal/Bredo-A
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Bredolab.Gen.1 (v)
TrendMicro 8.950.0.1094 2009.10.27 TROJ_BREDLAB.SMF
Wieder mal ist ein Virus unterwegs, der sich als Mail vom Paketdienst UPS in den USA tarnt. An der Mail, die dann Absender haben die mit UPS nichts zu tun haben, hängt ein ZIP-Archiv. Darin befindet sich eine ausführbare Datei, die sich noch mit einem Excel-Icon tarnt.
Betreff der Mail:
Postal Tracking #0DTZK13381QLTL9
Text der Mail:
Hello!
We were not able to deliver postal package you sent on the 14th of March in time
because the recipient?s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Your United Parcel Service of America
Name der Virusdateien:
Eine Datei namens UPS_DOC_986001.exe (52.224 Byte) befindet sich in einem Archiv namens UPS_DOC_986001.zip (34.506 Byte)
Nochmal zum Mitschreiben!
Auf keinen Fall sollte man sein Windows in der Standardeinstellung belassen, die besagt, dass “bekannte Dateiendungen” ausgeblendet werden. In so einem Fall liest man nämlich nur UPS_DOC_986001, übersieht das “exe” und startet das Ding dämlicherweise.
Diese Einstellungen ändert man in den Ordneroptionen!
Danke für Ihre Aufmerksamkeit… ;-)
Einige Virenscanner kennen das Ding zum Glück schon. Leider nicht alle und nicht mal die weit verbreiteten wie etwa Antivir!
a-squared 4.0.0.101 2009.05.28 Gen.Trojan!IK
Authentium 5.1.2.4 2009.05.28 W32/Zbot.YM
BitDefender 7.2 2009.05.28 Gen:Trojan.Heur.3004FB9EBC
CAT-QuickHeal 10.00 2009.05.27 (Suspicious) – DNAScan
F-Prot 4.4.4.56 2009.05.28 W32/Trojan3.AXD
GData 19 2009.05.28 Gen:Trojan.Heur.3004FB9EBC
McAfee+Artemis 5628 2009.05.27 Artemis!DE90A24F3DFB
Microsoft 1.4701 2009.05.27 VirTool:Win32/Obfuscator.FH
Sophos 4.42.0 2009.05.28 Mal/WaledPak-A
Als UPS-Mail haben die Virenschleudern es schon ein paar Mal versucht. Wundert sich keiner, woher UPS seine Emailadresse hat?!
Schrecknachrichten sollen den Empfänger dazu verleiten, einen Mailanhang zu öffnen, der einen Trojaner enthält. Haben sie es letztens noch mit Mails von Inkassounternehmen versucht, kommt jetzt die Drohung, das Emailkonto zu sperren…
Und so taucht die einfach gehaltene Mail auf, die Tausende von Leuten empfangen haben und die sich nur in der jeweils verwendeten Emailadresse unterscheidet – die wird immer durch die Adresse des Empfängers ersetzt.
Betreff:
Sperrung Ihrer E-Mail name@domain.de
Mailtext:
Sehr geehrte Damen und Herren,
Ihre Email “name@domain.de” wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 99 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.
Wie eigentlich immer bei solchen Mails werden keine deutschen Umlaute verwendet! Allein das sollte schon Aufmerksamkeit erregen. Außerdem sollte der Absender nicht “Lourdes Tabor” heißen sondern etwas mit Ihrem Mailanbieter zu tun haben.
An der Mail befindet sich eine Datei namens Hinweis.zip (27.831 Byte), die wiederum den eigentlichen Trojaner Hinweis.exe (40.960 Byte) enthält.
Heute, am 2.12.08, erkennen noch vergleichsweise wenige Virenscanner den Trojaner:
Jotti
A-Squared Win32.Outbreak!IK gefunden
AntiVir TR/Dldr.iBill.BW gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus W32/Trojan-Gypikon-based.BA!Maximus gefunden (mögliche Variante)
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.IDO gefunden
G DATA Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Mal/EncPk-CZ gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
Virustotal
AhnLab-V3 2008.12.2.0 2008.12.02 –
AntiVir 7.9.0.36 2008.12.02 –
Authentium 5.1.0.4 2008.12.02 W32/Trojan-Gypikon-based.BA!Maximus
Avast 4.8.1281.0 2008.12.01 –
AVG 8.0.0.199 2008.12.02 –
BitDefender 7.2 2008.12.02 –
CAT-QuickHeal 10.00 2008.12.02 –
ClamAV 0.94.1 2008.12.02 –
DrWeb 4.44.0.09170 2008.12.02 –
eSafe 7.0.17.0 2008.11.30 –
eTrust-Vet 31.6.6238 2008.12.02 –
Ewido 4.0 2008.12.01 –
F-Prot 4.4.4.56 2008.12.01 W32/Trojan-Gypikon-based.BA!Maximus
F-Secure 8.0.14332.0 2008.12.02 Trojan-Downloader:W32/Agent.IDO
Fortinet 3.117.0.0 2008.12.02 W32/Gypikon.CLF!tr
GData 19 2008.12.02 –
Ikarus T3.1.1.45.0 2008.12.02 Win32.Outbreak
K7AntiVirus 7.10.539 2008.12.01 –
Kaspersky 7.0.0.125 2008.12.02 –
McAfee 5451 2008.12.01 –
McAfee+Artemis 5451 2008.12.01 –
Microsoft 1.4104 2008.12.02 TrojanDropper:Win32/Emold.D
NOD32 3656 2008.12.02 –
Norman 5.80.02 2008.12.01 –
Panda 9.0.0.4 2008.12.02 –
PCTools 4.4.2.0 2008.12.01 –
Prevx1 V2 2008.12.02 –
Rising 21.06.10.00 2008.12.02 –
SecureWeb-Gateway 6.7.6 2008.12.02 Trojan.Dldr.iBill.BW
Sophos 4.36.0 2008.12.02 Mal/EncPk-CZ
Sunbelt 3.1.1832.2 2008.12.01 –
Symantec 10 2008.12.02 Downloader
TheHacker 6.3.1.2.171 2008.12.02 –
TrendMicro 8.700.0.1004 2008.12.02 –
VBA32 3.12.8.9 2008.12.01 –
ViRobot 2008.12.2.1495 2008.12.02 –
VirusBuster 4.5.11.0 2008.12.01 –
Analyse
Der Trojaner legt verschiedene Dateien auf dem befallenen System an.
Im Benutzerprofil: Sperrung.rtf
Unter C:\Programme\Microsoft Common\svchost.exe
Der vermutlich aus Russland stammende Trojaner versucht mehrere Server zu erreichen und dort die Datei
ld.php?v=1&rs=13441600&n=1&uid=1
aufzurufen.
Empfohlene Vorgehensweise
Zuallererst natürlich sollten Sie die Mail einfach löschen! Entpacken Sie nicht Hinweis.zip und wenn doch: Hinweis.exe ist ein Trojaner. Starten Sie die Datei NICHT – auch wenn Sie scheinbar das Icon einer Word-Datei hat.
… und abonnieren Sie meinen kostenlosen Newsletter – um immer früh von solchen Bedrohungen zu erfahren.