Malware in vorgeblichen Telekom-Rechnungen
Es geschieht inzwischen praktisch mindestens einmal in jeder Woche. Per Mail versenden üble Zeitgenossen vorgebliche Rechnungen mit Trojanischen Pferden darin. Derzeit ist es einmal mehr die Telekom, in deren Namen gefälschte Online-Abrechnungen mit sehr hohen Beträgen verbreitet werden.
Die Mails kommen zum Beispiel mit einem Betreff wie "Telekom Nachzahlung September 2006" oder "Telekom Rechnung Online Monat September 2006". Darin werden Forderungen in Höhe von zum Teil mehreren tausend Euro erhoben. Die Empfänger werden auf den Anhang verwiesen, der angeblich eine PDF-Datei mit der detaillierten Abrechnung enthalten soll.
Tatsächlich handelt es sich beim Inhalt der Datei "Rechnung.pdf.zip" um ein Programm mit doppelter Dateiendung ("Rechnung.pdf.exe") und PDF-Symbol. Es ist eine modifizierte Fassung eines schon seit geraumer Zeit einsetzten Schädlings, der weitere Malware aus dem Internet herunter lädt und installiert.
Die Versender der Mails verändern den Code der EXE-Datei durch den Einsatz verschiedener Komprimierungsprogramme soweit, dass die Datei von vielen Virenscannern zunächst nicht erkannt wird. Die Antivirus-Hersteller ziehen mit aktualisierten Virensignaturen nach und in der Folge geht es in die nächste Runde. Dann ist möglicherweise wieder Ebay als vorgeblicher Gegenstand der falschen Rechnungen an der Reihe.
Erkennung durch Antivirus-Software:
Antivirus |
Malware-Name |
AntiVir |
TR/Dldr.EbayBill.H |
Avast! |
Win32:Agent-BNG [Trj] |
AVG |
--- |
BitDefender |
Trojan.Downloader.AMM |
ClamAV |
Trojan.Downloader.Small-2295 |
Command |
W32/Downloader.gen2 |
Dr Web |
Trojan.DownLoader.12529 |
eSafe |
Win32.Agent.aoa |
eTrust-INO |
--- |
eTrust-VET |
Win32/DlWreck!generic |
Ewido |
--- |
F-Prot |
W32/Downloader.gen2 |
F-Secure |
Trojan-Downloader.Win32.Agent.aoa |
Fortinet |
--- |
Ikarus |
Trojan-Downloader.Win32.Agent.ann |
Kaspersky |
Trojan-Downloader.Win32.Agent.aoa |
McAfee |
Downloader-AAP trojan |
Microsoft |
--- |
Nod32 |
Win32/TrojanDownloader.Agent.UF |
Norman |
W32/Agent.AKAZ |
Panda |
Trj/Downloader.KGZ |
QuickHeal |
--- |
Sophos |
Troj/Dloadr-AMM |
Symantec |
Trojan.Schoeberl.D |
Trend Micro |
TROJ_YABE.AB |
UNA |
--- |
VBA32 |
--- |
VirusBuster |
Trojan.Clagger.C |
WebWasher |
Trojan.Dldr.EbayBill.H |
GData AVK * |
Trojan-Downloader.Win32.Agent.aoa |
Quelle: AV-Test, Stand: 06.09.06, 14:30 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Bitdefender (PC-Welt/mja)