Malware-Spam: Vorgebliche Online-Durchsuchungen mit Bundestrojaner
Am Samstag hat eine Welle von offenbar beunruhigenden Mails die Mailboxen deutscher Internetnutzer geflutet. Sie verkündeten den erschrockenen Empfängern, ihre Rechner wären mit dem "Bundestrojaner" durchsucht worden und nun würde eine Strafanzeige folgen. Die Mails trugen einen Betreff wie "Aktenzeichen [variable Ziffernfolge]" oder "Onlinedurchsuchung [variable Ziffernfolge]" und kamen vorgeblich von einem Herbert Klein von Landeskriminalamt Rheinland-Pfalz. Beim LKA in Mainz liefen am Samstag die Telefone heiß, weil besorgte Bürger wissen wollten, was das zu bedeuten hätte.
Diese Mails sind jedoch nichts weiter als ein neuerlicher Versuch, ein Trojanisches Pferd unters Volk zu bringen. Die gefälschten Absenderangaben und der Text mit Bezug auf den ominösen Bundestrojaner dienen einmal mehr nur als Köder für die Malware-Falle. Die Empfänger der Mails sollen dazu verleitet werden, den Anhang zu öffnen. Darin sollen sie laut Mail-Text ein vollständiges Protokoll der Online-Durchsuchung finden.
Der Anhang besteht aus einem ZIP-Archiv, dessen Dateiname der Nummer im Betreff der Mails entspricht. Darin steckt ein 20 KB großes Trojanisches Pferd als "Aktenzeichen.exe" mit PDF-Symbol. Wird das Programm gestartet, lädt es zunächst einige Textdateien von verschiedenen Webservern. Darin steht in primitiv verschlüsselter Form die Download-Adresse für die nachzuladende Malware.
Diese landet letztlich als "lo.exe" und "ipv6monl.dll" im System32-Verzeichnis von Windows. Die DLL wird in der Registry als BHO (Browser Helper Object) für den Internet Explorer eingetragen. Sie kann online eingegebene Anmeldedaten ausspionieren, etwa die fürs Online-Banking.
Erkennung durch Antivirus-Software:
Antivirus |
Aktenzeichen.exe |
ipv6monl.dll |
AntiVir |
TR/Dldr.iBill.AP |
TR/Spy.BZub.IP.9 |
Avast! |
--- |
--- |
AVG |
Downloader.Generic4.IOF |
PSW.Generic4.AWY |
Bitdefender |
--- |
--- |
ClamAV |
Trojan.Fakebill-1 |
--- |
Command AV |
W32/Downloader.gen2 |
--- |
Dr Web |
DLOADER.Trojan |
--- |
eSafe |
--- |
--- |
eTrust |
--- |
--- |
Ewido |
Downloader.Nurech.bm |
Logger.BZub.ip |
F-Prot |
W32/Downloader.gen2 |
--- |
F-Secure |
Trojan-Downloader.Win32.Nurech.bm |
Trojan-Spy.Win32.BZub.ip |
Fortinet |
W32/AAP.BM!tr.dldr |
--- |
Ikarus |
Trojan-Downloader.Win32.Nurech.bm |
Trojan-Spy.Win32.BZub.ip |
Kaspersky |
Trojan-Downloader.Win32.Nurech.bm |
Trojan-Spy.Win32.BZub.ip |
McAfee |
--- (Downloader-AAP)* |
Spy-Agent.ba.gen |
Microsoft |
TrojanDownloader:Win32/Nurech.gen!B |
--- |
Nod32 |
Win32/TrojanDownloader.Nurech.BG |
Win32/Spy.BZub.NDY |
Norman |
--- |
--- |
Panda |
--- (Trj/Cimuz.BE)* |
--- (Trj/Cimuz.BE)* |
QuickHeal |
--- |
--- |
Rising AV |
--- |
--- |
Sophos |
Mal/Behav-105 |
Mal/Cimuz-A |
Symantec |
Downloader |
--- |
Trend Micro |
TROJ_SMALL.IAU |
--- (TSPY_BZUB.AT)* |
VBA32 |
--- |
--- |
VirusBuster |
Trojan.DL.Nurech.BY |
TrojanSpy.BZub.AEU |
WebWasher |
Trojan.Dldr.iBill.AP |
Trojan.Spy.BZub.IP.9 |
GData AVK 2007 ** |
Trojan-Downloader.Win32.Nurech.bm |
Trojan-Spy.Win32.BZub.ip |
Quelle: AV-Test, Stand: 07.05.2007, 1 Uhr
* Noch nicht in offiziellen Virensignaturen enthalten.
** Mutmaßliche Erkennung auf Basis von Kaspersky und Avast. (PC-Welt/mja)