Trojaner als DHL Delivery Notification Message

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM. Nur meine beiden Virenscanner clamav und AnitVir reagieren haben keine Signatur für diesen Trojaner – noch nicht. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Warum die Signatur bei der Prüfung durch VirusTotal enthalten ist, jedoch nicht in meinen frisch heruntergeladenen ist mir nicht ganz einsichtig. Sollte VirutTotal mit aktuelleren Signaturen versorgt werden? Es sieht danach aus, als hätten die „bösen“ Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter „To:“ nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.

Ein Kommentar

Kommentare sind geschlossen.