Malware-Spam: Vorgebliche Online-Durchsuchungen mit Bundestrojaner

Massenhaft verbreitete Mails haben am Wochenende viele Internetnutzer erschreckt, die sich mit einer vermeintlichen Strafanzeige konfrontiert sahen. Bei der Polizei liefen die Telefone heiß.

Am Samstag hat eine Welle von offenbar beunruhigenden Mails die Mailboxen deutscher Internetnutzer geflutet. Sie verkündeten den erschrockenen Empfängern, ihre Rechner wären mit dem "Bundestrojaner" durchsucht worden und nun würde eine Strafanzeige folgen. Die Mails trugen einen Betreff wie "Aktenzeichen [variable Ziffernfolge]" oder "Onlinedurchsuchung [variable Ziffernfolge]" und kamen vorgeblich von einem Herbert Klein von Landeskriminalamt Rheinland-Pfalz. Beim LKA in Mainz liefen am Samstag die Telefone heiß, weil besorgte Bürger wissen wollten, was das zu bedeuten hätte.

Diese Mails sind jedoch nichts weiter als ein neuerlicher Versuch, ein Trojanisches Pferd unters Volk zu bringen. Die gefälschten Absenderangaben und der Text mit Bezug auf den ominösen Bundestrojaner dienen einmal mehr nur als Köder für die Malware-Falle. Die Empfänger der Mails sollen dazu verleitet werden, den Anhang zu öffnen. Darin sollen sie laut Mail-Text ein vollständiges Protokoll der Online-Durchsuchung finden.

Der Anhang besteht aus einem ZIP-Archiv, dessen Dateiname der Nummer im Betreff der Mails entspricht. Darin steckt ein 20 KB großes Trojanisches Pferd als "Aktenzeichen.exe" mit PDF-Symbol. Wird das Programm gestartet, lädt es zunächst einige Textdateien von verschiedenen Webservern. Darin steht in primitiv verschlüsselter Form die Download-Adresse für die nachzuladende Malware.

Diese landet letztlich als "lo.exe" und "ipv6monl.dll" im System32-Verzeichnis von Windows. Die DLL wird in der Registry als BHO (Browser Helper Object) für den Internet Explorer eingetragen. Sie kann online eingegebene Anmeldedaten ausspionieren, etwa die fürs Online-Banking.

Erkennung durch Antivirus-Software:

Antivirus

Aktenzeichen.exe

ipv6monl.dll

AntiVir

TR/Dldr.iBill.AP

TR/Spy.BZub.IP.9

Avast!

---

---

AVG

Downloader.Generic4.IOF

PSW.Generic4.AWY

Bitdefender

---

---

ClamAV

Trojan.Fakebill-1

---

Command AV

W32/Downloader.gen2

---

Dr Web

DLOADER.Trojan

---

eSafe

---

---

eTrust

---

---

Ewido

Downloader.Nurech.bm

Logger.BZub.ip

F-Prot

W32/Downloader.gen2

---

F-Secure

Trojan-Downloader.Win32.Nurech.bm

Trojan-Spy.Win32.BZub.ip

Fortinet

W32/AAP.BM!tr.dldr

---

Ikarus

Trojan-Downloader.Win32.Nurech.bm

Trojan-Spy.Win32.BZub.ip

Kaspersky

Trojan-Downloader.Win32.Nurech.bm

Trojan-Spy.Win32.BZub.ip

McAfee

--- (Downloader-AAP)*

Spy-Agent.ba.gen

Microsoft

TrojanDownloader:Win32/Nurech.gen!B

---

Nod32

Win32/TrojanDownloader.Nurech.BG

Win32/Spy.BZub.NDY

Norman

---

---

Panda

--- (Trj/Cimuz.BE)*

--- (Trj/Cimuz.BE)*

QuickHeal

---

---

Rising AV

---

---

Sophos

Mal/Behav-105

Mal/Cimuz-A

Symantec

Downloader

---

Trend Micro

TROJ_SMALL.IAU

--- (TSPY_BZUB.AT)*

VBA32

---

---

VirusBuster

Trojan.DL.Nurech.BY

TrojanSpy.BZub.AEU

WebWasher

Trojan.Dldr.iBill.AP

Trojan.Spy.BZub.IP.9

GData AVK 2007 **

Trojan-Downloader.Win32.Nurech.bm

Trojan-Spy.Win32.BZub.ip


Quelle: AV-Test, Stand: 07.05.2007, 1 Uhr
* Noch nicht in offiziellen Virensignaturen enthalten.
** Mutmaßliche Erkennung auf Basis von Kaspersky und Avast. (PC-Welt/mja)