Wieder mal ist ein Virus unterwegs, der sich als Mail vom Paketdienst UPS in den USA tarnt. An der Mail, die dann Absender haben die mit UPS nichts zu tun haben, hängt ein ZIP-Archiv. Darin befindet sich eine ausführbare Datei, die sich noch mit einem Excel-Icon tarnt.
Betreff der Mail:
Postal Tracking #0DTZK13381QLTL9
Text der Mail:
Hello!
We were not able to deliver postal package you sent on the 14th of March in time
because the recipient?s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Your United Parcel Service of America
Name der Virusdateien:
Eine Datei namens UPS_DOC_986001.exe (52.224 Byte) befindet sich in einem Archiv namens UPS_DOC_986001.zip (34.506 Byte)
Nochmal zum Mitschreiben!
Auf keinen Fall sollte man sein Windows in der Standardeinstellung belassen, die besagt, dass “bekannte Dateiendungen” ausgeblendet werden. In so einem Fall liest man nämlich nur UPS_DOC_986001, übersieht das “exe” und startet das Ding dämlicherweise.
Diese Einstellungen ändert man in den Ordneroptionen!
Danke für Ihre Aufmerksamkeit… ;-)
Einige Virenscanner kennen das Ding zum Glück schon. Leider nicht alle und nicht mal die weit verbreiteten wie etwa Antivir!
a-squared 4.0.0.101 2009.05.28 Gen.Trojan!IK
Authentium 5.1.2.4 2009.05.28 W32/Zbot.YM
BitDefender 7.2 2009.05.28 Gen:Trojan.Heur.3004FB9EBC
CAT-QuickHeal 10.00 2009.05.27 (Suspicious) – DNAScan
F-Prot 4.4.4.56 2009.05.28 W32/Trojan3.AXD
GData 19 2009.05.28 Gen:Trojan.Heur.3004FB9EBC
McAfee+Artemis 5628 2009.05.27 Artemis!DE90A24F3DFB
Microsoft 1.4701 2009.05.27 VirTool:Win32/Obfuscator.FH
Sophos 4.42.0 2009.05.28 Mal/WaledPak-A
Als UPS-Mail haben die Virenschleudern es schon ein paar Mal versucht. Wundert sich keiner, woher UPS seine Emailadresse hat?!
![ups[1].20081114.mail](http://www.virenkiller.de/wp-content/uploads/2008/11/ups120081114mail.jpg)
Folgende Warnmeldung erreichte Virenkiller.de von den Virenforschern der Firma G Data:
Falsche UPS-Benachrichtigung verbreitet Schadsoftware – Vorgebliches Word-Dokument infiziert Anwender-Systeme
Die Experten der G DATA Security Labs warnen vor gefälschten Zustellungsbenachrichtigungen des Paketdienstes UPS.
Im Anhang von Mails, die angeblich von UPS stammen, wird der Empfänger darauf hingewiesen, dass eine Paketsendung nicht zugestellt werden konnte. Der Empfänger wird anschließend aufgefordert, eine im Anhang befindliche Rechnung auszudrucken, um das Paket in Empfang zu nehmen.
Der Anhang, der zunächst den Anschein eines gewöhnlichen Word-Dokuments erweckt, entpuppt sich bei genauerem Hinsehen als ausführbare .EXE-Datei, was allerdings durch die Verwendung eines Word-Icons und die Verschleierung der Dateiendung zunächst nicht ersichtlich ist.
Bei der Datei handelt es sich um einen Downloader, der von einem russischen Server weitere Schadsoftware nachlädt.
Details der E-Mail:
Betreff: Tracking Number [11-stellige Zufallszahl]
Absender: United Postal Services [Unterschiedliche Vornamen]
Nachricht:
—————————————
Unfortunaly we couldn’t carry you the postal parcel sent on 28, October at the right time as there is an incorrect recipient’s address.
To take your package back you should print the copy of invoice that is in the added file
[Unterschiedliche Namen]
Manager UPS
—————————————
Anhang: UPS_letterN314617.zip
enthält:
Datei: UPS_letterN314617.doc[80Leerzeichen].exe, Größe: 34816 Bytes
MD5: B614604C6885A9DD881B90D78020C536
Lädt von russischer Domain weitere Daten.
In der Registry des befallenen Systems werden Änderungen an folgenden Schlüsseln vorgenommen:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
Die schädlichen Mails werden mittels OutbreakShield-Technologie bereits von allen G DATA-Sicherheitsprodukten erkannt. Die Experten der G DATA Security Labs raten allen Anwendern zu besonderer Vorsicht im Umgang mit unverlangt zugeschickten E-Mail-Anhängen. Diese sollten im Zweifelsfall nicht geöffnet werden. Zudem sollten Betriebssystem, Anwendungssoftware und der Virenschutz Immer auf dem aktuellsten Updatestand gehalten werden.
Derzeit versuchen es die Virenverbreiter mal wieder in Deutschland, indem sie angebliche UPS-Lieferscheine in ZIP-Dateien verpackt, per Email versenden. In diesen ZIPs befindet sich dann eine ausführbare Datei(!).
Fragen Sie sich doch bitte folgendes:
- Woher soll UPS Ihre Emailadresse haben?
- Warum enthält die Email keinerlei Telefonnummern und Kontaktdaten?
- Was soll ein Lieferschein zum Ausdrucken als EXE-Datei?
- Warum hat eine Email von UPS einen Absender wie wkselke@bloodstockhorses.com?
Betreff: Ihr UPS Paket N4717233433
Hier der Text der Mail:
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
und holen Sie ihr Paket bei uns ab.
Mit freundlichen Grussen,
Ihre UPS
Interessant ist auch hier mal wieder das Fehlen von Umlauten wie in „Empfangers und Grussen“. Auch Fehler wie „leider konnten wir ihren Paket“ deuten auf ausländische Verursacher hin.
Vermutlich verbreitet sich das Teil über befallene Rechner. Ich erhielt mein Exemplar von der T-Online IP 87.139.69.214 aus Offenbach.
Der Anhang heißt (in meinem Fall) etwa: UPS_Lieferschein_8102.zip und enthält die Datei UPS_Lieferschein.exe (8.192 Byte)
Die meisten Virenscanner erkennen Ihn.
Diese Warnungen versende ich auch per Email!
In meinem kostenlosen Newsletter.
Hier die Ergebnisse von Jotti und Virustotal:
A-Squared Keine Viren gefunden
AntiVir TR/Dldr.Tiny.brm gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Tiny-UR gefunden
AVG Antivirus SHeur.BWIM gefunden
BitDefender Trojan.Downloader.Gadja.C gefunden
ClamAV Trojan.Agent-30547 gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan-Downloader:W32/Small.GZA, Trojan-Downloader.Win32.Tiny.brm gefunden
Fortinet Keine Viren gefunden
Ikarus Trojan-Downloader.Win32.Tiny.brm gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Obitel.a gefunden
NOD32 Win32/TrojanDownloader.Tiny.NDM gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Troj/Agent-HFU gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
AhnLab-V3 2008.7.11.0 2008.07.11 –
AntiVir 7.8.0.64 2008.07.14 TR/Dldr.Tiny.brm
Authentium 5.1.0.4 2008.07.13 W32/Trojan2.ATAB
Avast 4.8.1195.0 2008.07.14 Win32:Tiny-UR
AVG 7.5.0.516 2008.07.14 SHeur.BWIM
BitDefender 7.2 2008.07.14 Trojan.Downloader.Gadja.C
CAT-QuickHeal 9.50 2008.07.11 (Suspicious) – DNAScan
ClamAV 0.93.1 2008.07.14 Trojan.Agent-30547
DrWeb 4.44.0.09170 2008.07.14 –
eSafe 7.0.17.0 2008.07.13 –
eTrust-Vet 31.6.5954 2008.07.14 Win32/SillyDl.EUC
Ewido 4.0 2008.07.13 –
F-Prot 4.4.4.56 2008.07.13 –
F-Secure 7.60.13501.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Fortinet 3.14.0.0 2008.07.14 –
GData 2.0.7306.1023 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Ikarus T3.1.1.26.0 2008.07.14 Trojan-Downloader.Win32.Tiny.brm
Kaspersky 7.0.0.125 2008.07.14 Trojan-Downloader.Win32.Obitel.a
McAfee 5337 2008.07.11 –
Microsoft 1.3704 2008.07.14 Trojan:Win32/Agent.EE
NOD32v2 3265 2008.07.14 Win32/TrojanDownloader.Tiny.NDM
Norman 5.80.02 2008.07.11 –
Panda 9.0.0.4 2008.07.13 Suspicious file
Prevx1 V2 2008.07.14 Malware Downloader
Rising 20.53.02.00 2008.07.14 –
Sophos 4.31.0 2008.07.14 Troj/Agent-HFU
Sunbelt 3.1.1536.1 2008.07.12 –
Symantec 10 2008.07.14 Downloader
TheHacker 6.2.96.378 2008.07.13 –
TrendMicro 8.700.0.1004 2008.07.14 PAK_Generic.001
VBA32 3.12.6.9 2008.07.13 –
VirusBuster 4.5.11.0 2008.07.13 –
Webwasher-Gateway 6.6.2 2008.07.14 Trojan.Dldr.Tiny.brm