Und wieder eine angebliche Paketdienstbenachrichtigung, die einen Trojaner als Anhang hat.
Der Betreff lautet:
DHL Express Tracking Prealert : Wed, 4 Jul 2012 15:47:42 +0900
Die Mail selbst sieht ziemlich zusammengeschustert aus. So ein ähnliches Ding hatten wir schon mal im Mai.
Custom Reference: 587182-542TVMOJWWIJ
Tracking Number: H1AB3-2381060763
Pickup Date: Wed, 4 Jul 2012 15:47:42 +0900
Service: GROUND / AIR
Pieces: 2
Wed, 4 Jul 2012 15:47:42 +0900 – Processing complete successfully
PLEASE REFER TO ATTACHED FILE
Shipment status may also be obtained from our Internet site in USA under http://track.dhl-usa.com or Globally under http://www.dhl.com/track
Please do not reply to this email. This is an automated application used only for sending proactive notifications
Thanks in advance,
DHL Express @ 2012
Kein Name, keine Anrede. Nicht mal ein deutlicher verweis auf den Anhang, welcher einen seltsamen Namen trägt:
DHL_ONLINE_SHIPPING_PREALERT_03XNGO2K2F.zip
Darin die Datei DHL-Notification.exe (112.128 Byte)
Microsofts Security Essentials haben sofort Alarm geschlagen. Doch laut Jotti sieht die Erkennung noch miserabel aus.
Scan abgeschlossen. 0 von 19 Scannern haben Malware gemeldet.
Link
Bei Virustotal sieht das schon etwas besser aus. Microsoft und Panda finden ihn als einzige. Als Einzige von 42 Virenscannern!
Microsoft nennt das Ding Trojan:Win32/Bublik.B
Die Gefahr ist also hoch.
Anweisung:
Mail löschen, nichts downloaden. Keine Anhänge öffnen. DHL hat Ihre Emailadresse nicht!
Solche Warnungen bekommen Sie zeitnah über meinen Newsletter oder die Facebookseite von Virenkiller.de
Unter einem Betreff wie
DHL Services. You should get the parcel NR.93835
erreicht zur Zeit viele Leute eine angebliche Benachrichtigung des Paketdienstes DHL, der sie darüber informieren soll, dass ein Paket angeblich nicht zugestellt werden konnte. (Und es gibt Menschen die so blöde sind, dass sie annehmen, DHL wüßte ihre Emailadresse?!?)
Hello!
The courier company was not able to deliver your parcel by your address.
Cause: Error in shipping address.
You may pickup the parcel at our post office personaly!
Please attention!
The shipping label is attached to this e-mail.
Print this label to get this package at our post office.
Please do not reply to this e-mail, it is an unmonitored mailbox.
Thank you,
DHL Global Forwarding Services.
An dieser Mail hängt eine Zip-Datei mit Bezeichnungen wie “dhl_print_label_c234a.zip” (23.321 Byte). Diese wiederum enthält eine ausführbare Exe-Datei mit Namen wie “DHL_print_label_c234a.exe” (29.696 Byte)
Viele Virenscanner (wie etwa Antivir) reagieren noch nicht darauf. Andere erkennen ihn aber bereist und geben ihm einen Namen. Es scheint sich wieder mal um einen Vertreter der Familie Bredolab zu handeln. [Siehe hier]
Hier eine Liste der Scanner die sicher sind:
Authentium 5.1.2.4 2009.10.27 W32/Bredolab!Generic
BitDefender 7.2 2009.10.27 Trojan.Downloader.Bredolab.AZ
Comodo 2744 2009.10.27 Heur.Packed.Unknown
eSafe 7.0.17.0 2009.10.25 Suspicious File
F-Secure 9.0.15370.0 2009.10.22 Trojan.Downloader.Bredolab.AZ
GData 19 2009.10.27 Trojan.Downloader.Bredolab.AZ
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee+Artemis 5783 2009.10.26 Artemis!815C8DD61EDF
Microsoft 1.5202 2009.10.27 TrojanDownloader:Win32/Bredolab.X
Norman 6.03.02 2009.10.26 W32/Obfuscated.D2!genr
Panda 10.0.2.2 2009.10.26 Suspicious file
Prevx 3.0 2009.10.27 Medium Risk Malware
Sophos 4.46.0 2009.10.27 Mal/Bredo-A
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Bredolab.Gen.1 (v)
TrendMicro 8.950.0.1094 2009.10.27 TROJ_BREDLAB.SMF