Die Virenschleudern versuchen es wieder mal wieder mit dem Trick, ausführbare Exe-Dateien als Word-Doc zu tarnen und sie gleich noch zu zippen.
So landen gerade wieder verstärkt Mails in den Postfächern, die extrem einfach gehalten sind und nur einen kleinen Anhang haben. Darin ist die Rede von einem Anhang, der angeblich ein „Statement“ (eine Stellungnahme) enthält.
Da man selbst sowas kaum erwartet wird diese Anhang vermutlich nur von neugierigen (und sehr dummen) Zeitgenossen geöffnet, die mal ein bißchen in den Daten anderer rumschnüffeln wollen.
Betreff: Statement January – October
Der Mailtext:
There is a file attached to this letter. You can find your report in it.
The report was made today. Detailed report you’ve asked for has been adapted successfully.
Feel free to contact us any time.
Mable
Daran hängt eine ZIP-Datei mit einer Größe von 35.927 Byte mit dem seltsamen Namen
statement.jan,oct.zip
Darin wiederum befindet sich eine Datei, die auf den ersten Blick wie ein Word-Dokument aussieht. Das Icon stimmt und die Endung DOC scheinbar auch. Allerdings kommen hinter diesem „Doc“ noch ganz viele Leerzeichen und dann folgt ein „.exe“.
So heißt die Datei also tatsächlich
Statement_January-October.doc .exe
Bei Virustotal kennen 8 von 36 Scannern das Ding:
AntiVir HEUR/Crypted.E
Authentium W32/Trojan-Gypikon-based.DM!Maximus
eSafe Suspicious File
F-Prot W32/Trojan-Gypikon-based.DM!Maximus
Microsoft Trojan:Win32/Emold.gen!C
Panda Suspicious file
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA
TrendMicro PAK_Generic.001
Bei Jotti schlagen sogar nur 4 Scanner an:
F-Prot Antivirus W32/Trojan-Gypikon-based.DM!Maximus gefunden (mögliche Variante)
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.HVR gefunden
Ikarus Win32.Outbreak gefunden
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA gefunden
Laut Thret-Expert versucht das Ding zwei Adressen auf einem russischen Server zu kontaktieren und unter dem Programmordner eine neue Datei anzulegen
\Microsoft Common\wuauclt.exe (47.616 bytes)