Die Virenverbreiter versuchen es mal wieder mit dem guten, alten Postkartentrick:
Good day.
You have received an eCard
To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):
http://domainnamegeloescht.be/e-card.exe
Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!
We hope you enjoy you eCard.
Thank You!
http://www.greetingcard.org
Kaum zu glauben, dass noch Leute so blöde sein sollen, auf diesen Trick hereinzufallen. Aber es ist ebenfalls unglaublich, dass nacj wie vor nicht jeder Virenscanner das Teil erkennt.
Immer wird eine Datei namens e-card.exe (238.592 Byte) auf einer gehackten Domain abgelegt und auf diese Datei wird direkt verlinkt.
Laut den Analysen enthält das Teil einen Keylogger, der Tastenanschläge mitprotokolliert. Außerdem lädt es Programmcode aus dem Internet nach und verbreitet sich selbst über das Netzwerk.
Folgende Dateien werden angelegt:
.tt2.tmp
.ttA3.tmp
emails.dat.z
.tt2.tmp.vbs
svchost.exe (Das Original wird überschrieben!)
emails.dat
log.dat
blphc35dj0erc1.scr
lphc35dj0erc1.exe
phc35dj0erc1.bmp
MachineGuid.txt
Und im Tempverzeichnis: finder.exe
Bei Virustotal erkennen ihn nur 15 von 36 Scannern, bei Jotti nur 10 Scanner. AntiVir, Norman, ClamAV, Dr. Web, MacAffee und Panda versagen u.a. komplett!
Und wie immer gibt es solche Meldungen kostenlos in meinem Antivirus-Newsletter.