Trojaner: Scan from a Hewlett-Packard ScanJet

[vgwort line=“42″ server=“vg08″ openid=“77f2959d5de84114bdb495edac93d965″]

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

  1. kenne keinen Gerry.
  2. habe keinen Netzwerkscanner.
  3. habe die Adresse scan@… noch nie benutzt habe.
  4. kenne keinen Netzwerkscanner der Dokumente im MS Word 2003 Format ablegt und hätte PDF, TIFF oder JPEG erwartet.
  5. keinen Netzwerkscanner kenne, der Mails mit einem Fwd: Re: im Subject – also eine weitergeleitete Antwort – einleiten würde.
  6. in einem Re: Fwd: im Subject – also eine Antwort auf meine Weiterleitung – keinen Sinn erkennen kann, insbesondere wenn ich keine Mail weitergeleitet habe.
  7. kann ein ZIP-Archiv von diesen Formaten unterscheiden.
  8. kann eine EXE-Anwendung im ZIP-Archiv von anderen Formaten in einem Archiv unterscheiden.

Es ist sehr ungeschickt mir mehrere derartiger Mails zu schicken. Erstens erhöht es meine Skepsis und zweitens, wenn ich auf die erste nicht hereinfalle, dann auch nicht auf die zweite.

In manchen Mails heißt das ZIP-Archiv HP_Scan.zip in anderen HP_Documents.zip. In diesem Archiv ist die ausführbare Datei HP_Scan_ID.exe einhalten, wobei die Nummer der Datei nicht mit den Nummern im Betreff oder in der Mail identisch sein muss. Alle Nummern innerhalb einer Mail sind willkürlich und hängen scheinbar nicht zusammen.

ClamAV und AntiVir finden mal wieder nichts, obwohl die Definitionen aktuell sind und die Mails bereits 24 Stunden alt sind. Bleibt nur mal Virus-Total. Etwa zwei Stunden nach dem Auftreten des Trojaners bei mir erkannten 8 von 40 Scannern den Trojaner. Jetzt sind es 22 von 40. AntiVir erkennt ihn nun als TR/Crypt.XPACK.Gen8 und McAfee nennt ihn Generic.bfg!d.

In den Fällen, in denen die Viren Scanner versagen, erkennt SpamAssassin diese Mails meist als SPAM. Dies ist bei zwei Mails neun Mail von leider nicht der Fall. Ich hätte allerdings die ersten Mails in dem Bayes Filter zum lernen geben sollen. Dies könnte zwar bei Leuten mit Netzwerkscanner zu „False Positives“ führen, aber wenn man auch die echten Mails einspeist, sollte der Bayes Filter in SpamAssassin beides auseinander halten können. Auch schlage bei den meisten Mails noch anderer Regeln an.

Auffällig ist eine Mail mit unbekannten Datum. In diesem Fall lautet der Datumseintrag im Header der Mail: Date: Fri, 27 Jul 2012 -04:24:01 -0800 Kmail2 akzeptiert keine negative Uhrzeit. Diese sind auch nicht definiert. Hier hat die Software zum Senden der Mails offenbar einen Fehler.