Duke
24.04.07, 23:20
Mails mit vorgeblichen Rechnungen einer bekannten Anwaltskanzlei sollen einmal mehr zur Vermehrung von Botnets beitragen, denn statt einer signierten Word-Datei steckt ein Trojanisches Pferd in den Mails.
Wie schon vor zwei Wochen werden heute Mails mit vorgeblichen Rechnungen des Rechtsanwalts Olaf Tank verschickt. Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Forderung AZ: 105485/43", "Aktenzeichen: 418591/41", "Erstattung einer Anzeige", "Forderung AZ: 105485/43" oder "Mahnung AZ: 298544/59" sowie der gefälschten Absenderangabe "anwalt@forderungseinzug.de". Im Text wird die anwaltliche Vertretung der Schmidtlein-Brüder angezeigt und wie schon in den Mails vom 10. April eine Forderung erhoben, die sich auf eine angebliche Nutzung der kostenpflichtigen Website p2p-heute.com bezieht.
Im Unterschied zu echten Schreiben des Anwalts, aus denen der Text vermutlich kopiert wurde, wird mit dem Satz "Das Originalrechnung finden Sie im Anhang als signierte Word Datei" auf einen Mail-Anhang verwiesen, der in einem ZIP-Archiv namens "Rechnung.zip" steckt. Dieses enthält eine EXE-Datei mit doppelter Dateiendung ("Rechnung_Sign[lange Nummer].pdf.exe"), die eher auf eine PDF- als eine Word hinweist, während die Datei jedoch ein Word-Symbol trägt.
Wird die vermeintliche Word-Datei durch Doppelklick geöffnet, startet das Programm seine Download-Routine. Es holt sich zunächst Text-Dateien mit teilweise verschlüsselten Download-URLs und lädt dann die darin genannten Dateien herunter. Mit der Installation dieser Dateien wird der Rechner zu einem Teil eines Botnets, mutiert also zur fremdgesteuerten Spam-Schleuder.
Außerdem legt der Schädling eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows an und registriert sie als BHO (Browser Helper Object) im Internet Explorer. So können Zugangsdaten, etwa für das Online-Banking, die der Benutzer im IE eingibt, abgefangen werden. Das Gesamtverhalten dieses Malware-Pakets entspricht also dem bei dieser Art Malware Üblichen.
Quelle @ pcwelt
Wird erkannt durch folgende Antivirus-Software: Klick mich (http://www.pcwelt.de/news/sicherheit/78355/index.html)
Wie schon vor zwei Wochen werden heute Mails mit vorgeblichen Rechnungen des Rechtsanwalts Olaf Tank verschickt. Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Forderung AZ: 105485/43", "Aktenzeichen: 418591/41", "Erstattung einer Anzeige", "Forderung AZ: 105485/43" oder "Mahnung AZ: 298544/59" sowie der gefälschten Absenderangabe "anwalt@forderungseinzug.de". Im Text wird die anwaltliche Vertretung der Schmidtlein-Brüder angezeigt und wie schon in den Mails vom 10. April eine Forderung erhoben, die sich auf eine angebliche Nutzung der kostenpflichtigen Website p2p-heute.com bezieht.
Im Unterschied zu echten Schreiben des Anwalts, aus denen der Text vermutlich kopiert wurde, wird mit dem Satz "Das Originalrechnung finden Sie im Anhang als signierte Word Datei" auf einen Mail-Anhang verwiesen, der in einem ZIP-Archiv namens "Rechnung.zip" steckt. Dieses enthält eine EXE-Datei mit doppelter Dateiendung ("Rechnung_Sign[lange Nummer].pdf.exe"), die eher auf eine PDF- als eine Word hinweist, während die Datei jedoch ein Word-Symbol trägt.
Wird die vermeintliche Word-Datei durch Doppelklick geöffnet, startet das Programm seine Download-Routine. Es holt sich zunächst Text-Dateien mit teilweise verschlüsselten Download-URLs und lädt dann die darin genannten Dateien herunter. Mit der Installation dieser Dateien wird der Rechner zu einem Teil eines Botnets, mutiert also zur fremdgesteuerten Spam-Schleuder.
Außerdem legt der Schädling eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows an und registriert sie als BHO (Browser Helper Object) im Internet Explorer. So können Zugangsdaten, etwa für das Online-Banking, die der Benutzer im IE eingibt, abgefangen werden. Das Gesamtverhalten dieses Malware-Pakets entspricht also dem bei dieser Art Malware Üblichen.
Quelle @ pcwelt
Wird erkannt durch folgende Antivirus-Software: Klick mich (http://www.pcwelt.de/news/sicherheit/78355/index.html)