Virenkiller.de

27. Oktober 2009

Trojaner in falscher DHL Benachrichtigung

Category: Spam,trojaner – virenkiller – 10:59

Unter einem Betreff wie

DHL Services. You should get the parcel NR.93835

erreicht zur Zeit viele Leute eine angebliche Benachrichtigung des Paketdienstes DHL, der sie darüber informieren soll, dass ein Paket angeblich nicht zugestellt werden konnte. (Und es gibt Menschen die so blöde sind, dass sie annehmen, DHL wüßte ihre Emailadresse?!?)

Hello!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox.
Thank you,
DHL Global Forwarding Services.

An dieser Mail hängt eine Zip-Datei mit Bezeichnungen wie “dhl_print_label_c234a.zip” (23.321 Byte). Diese wiederum enthält eine ausführbare Exe-Datei mit Namen wie “DHL_print_label_c234a.exe” (29.696 Byte)

Viele Virenscanner (wie etwa Antivir) reagieren noch nicht darauf. Andere erkennen ihn aber bereist und geben ihm einen Namen. Es scheint sich wieder mal um einen Vertreter der Familie Bredolab zu handeln. [Siehe hier]

Hier eine Liste der Scanner die sicher sind:

Authentium     5.1.2.4     2009.10.27     W32/Bredolab!Generic
BitDefender     7.2     2009.10.27     Trojan.Downloader.Bredolab.AZ
Comodo     2744     2009.10.27     Heur.Packed.Unknown
eSafe     7.0.17.0     2009.10.25     Suspicious File
F-Secure     9.0.15370.0     2009.10.22     Trojan.Downloader.Bredolab.AZ
GData     19     2009.10.27     Trojan.Downloader.Bredolab.AZ
Kaspersky     7.0.0.125     2009.10.27     Packed.Win32.Krap.w
McAfee+Artemis     5783     2009.10.26     Artemis!815C8DD61EDF
Microsoft     1.5202     2009.10.27     TrojanDownloader:Win32/Bredolab.X
Norman     6.03.02     2009.10.26     W32/Obfuscated.D2!genr
Panda     10.0.2.2     2009.10.26     Suspicious file
Prevx     3.0     2009.10.27     Medium Risk Malware
Sophos     4.46.0     2009.10.27     Mal/Bredo-A
Sunbelt     3.2.1858.2     2009.10.26     Trojan.Win32.Bredolab.Gen.1 (v)
TrendMicro     8.950.0.1094     2009.10.27     TROJ_BREDLAB.SMF

22. September 2009

Vorsicht vor angeblicher DHL-Rechnung aus den USA! (Buy.com)

Category: Email,trojaner – virenkiller – 16:30

Der Absender nennt sich “Internet Superstore”. Und angeblich handelt es sich bei der Email um eine Versandbestätigung.

Betreff:
Shipping Confirmation For Order N.3588

Mailtext:
Hi!
Thank you for shopping at our internet store!
We have successfully received your payment.
Your order has been shipped to your billing address.
You have ordered "Asus EeeBox EBXB202".
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
We hope you enjoy your order!
Buy.com
Customer Service.

Und wie nicht anders zu erwarten gibt es auch einen Anhang.

In diesem Fall heißt er z.B. “DHL_INVOICE_76cef5.zip” und diese gezippte Datei enthält ihrerseits eine ausführbare EXE-datei namens DHL_INVOICE_76cef5.exe (65.536 Byte groß), die sich mit einem Word-Icon tarnt.

Eine Menge Virenscanner kennt den Virus.
Aber einige namhafte (wie z.B. Antivir oder Comodo) etwa nicht.

a-squared     4.5.0.24     2009.09.22     Trojan.Win32.Bredolab!IK
Authentium     5.1.2.4     2009.09.21     W32/Bredolab.C.gen!Eldorado
AVG     8.5.0.412     2009.09.22     Packed.Revolt
BitDefender     7.2     2009.09.22     Trojan.Downloader.Bredolab.AM
CAT-QuickHeal     10.00     2009.09.22     Win32.Packed.Krap.w.4
DrWeb     5.0.0.12182     2009.09.22     Trojan.Packed.2915
eTrust-Vet     31.6.6753     2009.09.22     Win32/Bredolab!generic
F-Prot     4.5.1.85     2009.09.21     W32/Bredolab.C.gen!Eldorado
Fortinet     3.120.0.0     2009.09.22     W32/Waledac.X.gen!tr
GData     19     2009.09.22     Trojan.Downloader.Bredolab.AM
Ikarus     T3.1.1.72.0     2009.09.22     Trojan.Win32.Bredolab
Jiangmin     11.0.800     2009.09.22     Pack.Krap.a
McAfee     5748     2009.09.21     Generic PWS.ch
McAfee+Artemis     5748     2009.09.21     Generic PWS.ch
McAfee-GW-Edition     6.8.5     2009.09.22     Heuristic.LooksLike.Trojan.Spy.ZBot.H
Microsoft     1.5005     2009.09.22     VirTool:Win32/Obfuscator.FW
NOD32     4447     2009.09.22     a variant of Win32/Kryptik.AOF
Sophos     4.45.0     2009.09.22     Mal/Bredo-A
Sunbelt     3.2.1858.2     2009.09.22     Trojan.Win32.Bredolab.Gen.1 (v)
Symantec     1.4.4.12     2009.09.22     Packed.Generic.243
TrendMicro     8.950.0.1094     2009.09.22     TROJ_BREDLAB.SMF

Das Ding enthält also keinerlei persönliche Ansprache und ist zudem eine Versandbestätigung für etwas, das man nie bestellt hat. Spätestens hier sollte der gesunde Menschenverstand die Delete-Taste drücken.

Folgende Dateien legt es unter Windows an:

frjacnwrm.dll – 333.888 Bytes
sys.bat – 60 Bytes
sys.dat – 42.496 Bytes

Mit ziemlicher Sicherheit kommt es aus Russland. Es handelt sich um einen Trojaner der die Fernsteuerung des befallenen Rechners zulässt.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen