Antivir erkennt ihn nicht und auch bei Jotti (http://virusscan.jotti.org/de/) bzw. Virustotal (http://www.virustotal.com/de/) erkennen ihn nur wenige…
Die Rede ist von einem Trojaner, der seinen weiteren Code aus dem Internet downloadet.
Die Gefahr dürfte zumindest im deutschen Sprachraum relativ gering sein, da die Mail englisch ist und der (angebliche) Absender niemandem bekannt sein dürfte und auch nichts mit dem „Unterzeichner“ der Mail zu tun hat.
Der Betreff lautet:
You ask me about this game, Here is it
Der Mailtext:
Good Day, man!Anna sent you animated card. You can check this in your attachment.Best regards,
Your Funny Cards.
Als Anhang hat die Mail eine Datei namens Card.zip, die wiederum eine card.exe enthält (20.992 Byte).
Laut Jotti und Virustotal enth#ält diese den Pandex.gen
Virustotal hat mehr Treffer:
ClamAV 0.91.2 2007.09.21 Trojan.Downloader-13920
F-Secure 6.70.13030.0 2007.09.21 Pandex.gen
Ikarus T3.1.1.12 2007.09.21 Win32.Outbreak
Norman 5.80.02 2007.09.20 Pandex.gen
Sophos 4.21.0 2007.09.21 Troj/Pushdo-C
Die Mail sollte umgehend gelöscht werden. Keinesfalls die ZIP-Datei öffnen oder die Programmdatei starten!
Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!
Einfach hier rechts im Menü anmelden!
UPDATE:
Nach unserer Zusendung hat man bei Avia (Antivir) dem Trojaner den Namen Worm/Ntech.I gegeben. Ein aktuelles Update am 21.9.2007 um 10:30 Uhr erkannte den Virus dann auch.
Warnung vor gefälschten Telekom-Mails (T-Mobile)
Der Newsticker des Heiseverlags warnt vor gefälschten Mails von T-Mobile.
Diese locken den Empfänger mit Gutschriften aus dem SMS-Konto.
Betreff der Mails:
Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben
Der Text der Mail lautet:
Die Gesellschaft „T-Mobile“ dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.
Ein Link in der Mail führt dann allerdings nicht auf eine T-Mobileseite, sondern wieder mal auf eine virenverseuchte Webseite, die dem Besucher durch einen nicht wahrnehmbaren Iframe durch Javascripte gefährliche Trojaner unterzuschieben versucht. Iframes nennt man die Technik, in normale Webseiten offen oder versteckt Inhalte anderer Webseiten einzubetten.
Erfolgversprechend dürfte so eine Mail ohnehin eigentlich nur bei Kunden von T-Mobile sein, aber man weiß ja nie.
Kompletter Text von heise:
http://www.heise.de/newsticker/meldung/93118
Auch T-Mobile selbst warnt:
http://www.t-mobile.de/virenwarnung
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Recht primitiv gemacht, aber dennoch für den einen oder anderen Neugierigen gefährlich ist eine neue gefälschte Rechnung. Dieses mal stammt sie angeblich von der Firma Mindfactory AG (shop@mindfactory.de).
Der Text ist ähnlich sparsam wie in ähnlichen Mails letzter Zeit. Allerdings hängt an dieser Mail weder ein Virus noch eine Grafik. Vielmehr handelt es sich wieder einmal um den Versuch, ein Exploit des Internet Explorers beim Besucher zu installieren. Es handelt sich um das selbe Script auf demselben Malaisischen Server wie bereits unter http://www.virenkiller.de/archives/43 beschrieben.
Betreff:
Betreff: Vielen Dank fur den Kauf
Text der Mail:
Guten Tag! Vielen Dank für den Kauf in unserem Shop. Es wurde von Ihrem Konto der Betrag in Höhe von EUR 147 abgebucht. Die Kontobilanz sowie den Kaufzettel können Sie hier abrufen: http://geocities.com/xxxxxxxxxgelöscht
Auch hier geht es auf den verseuchten Server 203.223.158.26
Beim Besuch des Links bekommt man eine gefälschte Fehlermeldung präsentiert. Das Virenscript installiert sich über einen 1 Pixel großen iFrame.
Heise berichtete über diese Mails unter http://www.heise.de/newsticker/meldung/89203