Trojanische Pakete von DHL und UPS

Vorgebliche UPS-Mail
Bild 1 von 1

Vorgebliche UPS-Mail

 

In massenhaft verschickten Mails, die vorgeblich von den Paketzustelldiensten UPS oder DHL kommen, steckt ein Trojanisches Pferd. Angeblich konnte ein Paket nicht zugestellt werden.

Die Masche ist weder neu noch originell, wird jedoch immer wieder gerne genommen. Spam-artig verschickte Mails kommen scheinbar von einem Paketdienst wie DHL oder UPS. Darin heißt es, man habe ein Paket nicht zustellen können. Die Empfänger sollen die beigefügte Rechnungskopie ausdrucken und das Paket selbst abholen. Der Anhang besteht allerdings aus einem Trojanischen Pferd.

Die DHL-Mails kommen mit einem Betreff nach dem Schema "DHL Delivery problem NR xxxxxxx", wobei "xxxxxxx" für eine veränderliche Kombination aus Zahlen und Buchstaben steht. Ganz ähnlich sehen die vorgeblichen UPS-Mails aus, die inzwischen statt der DHL-Mails verbreitet werden. Hier lautet der Betreff "UPS Tracking Number xxxxxxx". Die gefälschten Absenderangaben weisen nicht auf einen der Paketdienste hin.

Der Anhang besteht aus einem ZIP-Archiv, das zwischen 20 und 40 KB groß ist. Bei den DHL-Mails folgt der Dateiname dem Schema "Dxxxxxxxx.zip", bei UPS "UPSNR_xxxxxxxx.zip". Darin steckt jeweils eine gleichnamige EXE-Datei. Dabei handelt es sich um ein Trojanisches Pferd aus der Bredolab-Familie.

Schadfunktion und Erkennung

Der Schädling nimmt Kontakt mit einem russischen Server auf, um weitere Malware herunter zu laden. Darunter ist auch ein Scareware-Programm, das vorgebliche Virenfunde anzeigt. Es nötigt den Benutzer zum Kauf einer teuren und nutzlosen Vollversion des Programms. Außerdem wird ein Passwortspion installiert.

Die Erkennung der Mail-Anhänge durch Antivirusprogramme ist schon recht gut, weist jedoch noch Lücken auf.


Quelle: AV-Test, Stand: 18.08.2009, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

Antivirus Malware-Name (UPS) Malware-Name (DHL)
AntiVir TR/Spy.ZBot.FA TR/Dldr.Bredolab.U.4
Authentium W32/Bredolab.P W32/Bredolab.O
Avast --- ---
AVG Injector.FG (Trojan horse) Generic14.YFU (Trojan horse)
Bitdefender --- Trojan.Downloader.Bredolab.U
CA-AV Win32/Bredolab!generic --- (Win32/Bredolab.LZ)*
ClamAV --- ---
Dr. Web --- Trojan.Botnetlog.11
Eset Nod32 Win32/Kryptik.ACN Win32/Kryptik.AEU
Fortinet --- (PossibleThreat)* --- (W32/Bredolab.HL!tr.bdr)*
F-Prot W32/Troj_Obfusc.J.gen!Eldorado W32/Troj_Obfusc.J.gen!Eldorado
F-Secure 2009 Trojan-Downloader:W32/Bredolab.gen!C Trojan-Downloader:W32/Bredolab.gen!C
F-Secure 2010 Trojan-Downloader:W32/Bredolab.gen!C Trojan-Downloader:W32/Bredolab.gen!C
G-Data AVK 2008 Backdoor.Win32.Bredolab.ht Backdoor.Win32.Bredolab.hl
G-Data AVK 2009 --- Trojan.Downloader.Bredolab.U
Ikarus Trojan-Downloader.Win32.Bredolab Backdoor.Win32.Bredolab
K7 Computing --- ---
Kaspersky Backdoor.Win32.Bredolab.ht Backdoor.Win32.Bredolab.hl
McAfee --- ---
McAfee Artemis Artemis!1610EAFF35E2 (trojan) Artemis!F327023D4F9F (trojan)
McAfee GW Edition Heuristic.LooksLike.Trojan.Crypt.ZPACK.H Trojan.Dldr.Bredolab.U.4
Microsoft TrojanDownloader:Win32/Bredolab.X TrojanDownloader:Win32/Bredolab.X
Norman --- ---
Panda --- (Trj/Sinowal.WMM)* ---
Panda (Online) Trj/CI.A Trj/CI.A
PC Tools HeurEngine.MaliciousPacker ---
QuickHeal --- ---
Rising AV Unknown Win32 Virus Unknown Win32 Virus
Sophos Mal/Bredo-A Mal/Bredo-A
Spybot S&D --- ---
Sunbelt Trojan-Downloader.Win32.Bredolab.x (v) ---
Symantec Packed.Generic.243 Packed.Generic.243
Trend Micro --- ---
VBA32 --- ---
VirusBuster --- ---
Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Nach dem Streit über die neuen Nutzungsregeln geht WhatsApp in die Offensive. Der Chatdienst legt eine Werbekampagne ...mehr
Die Technik soll uns in Zeiten von Corona einmal mehr das Leben erleichtern. Was man nun über den digitalen ...mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.