Thema: Virenpost macht die Runde

[ombre]

Es vergeht keine Woche, in der nicht vor neuen Viren, Würmern oder Trojanern gewarnt werden muss. Dieses Mal kommt die Warnung allerdings nicht aus dem Hause eines großen Sicherheits-Unternehmens wie F-Secure oder Symantec, sondern von der Deutschen Telekom. Der Konzern hat seine Kunden auf einen neuen Trojaner hingewiesen, der derzeit mit gefälschten Rechnung-Online-Nachrichten für Aufsehen sorgt.

Rechnung, die keine ist

Zwar seien nur vereinzelte Kunden bekannt, die mit dem Trojaner konfrontiert worden seien, trotzdem sollte höchste Vorsicht bei E-Mails mit dem angeblichen Absender Telekom AG gelten. Die E-Mails stünden nicht mit der echten Rechnung-Online des Konzerns in Verbindung, so die Telekom. Das Trojanische Pferd durchsuche auf infizierten Rechnern nach Passwörtern und leite diese an die Programmierer weiter. Über die Betreffzeile mit dem Titel Telekom-Rechnung Juni 2004/05 sei der Schädling zu erkennen, heißt es weiter. Die Anlage der gefährlichen E-Mail, die eine neue Variante des Trojaners „PWS-LDPinch“ enthält, trage die Bezeichnung Rechnung2004.pdf.exe.

Um vor der Bedrohung durch das Trojanische Pferd geschützt zu sein, ist ein Update der AntiViren-Software dringend erforderlich. Wer eine verdächtige Nachricht erhält, sollte sie sofort ungelesen löschen.

http://www.onlinekosten.de/news/artikel/15087

[Jürgen]

Ich verspüre überhaupt keine Lust, mit meinem Internet-Provider per E-Mail zu kommunizieren, schon gar nicht, mich wegen der Rechnung von seinem Zugang abhängig zu machen. Mag sein, dass das zunächst komfortabel aussieht, aber im Falle einer Störung, z.B. abgestellt wegen Nichtzahlung (einer ungerechtfertigt hohen Rechnung...) kommt man dann kaum noch an die Rechnung heran, um sie (teilweise) zu bezahlen.

Papier ist mir da zur Zeit immer noch lieber, natürlich sind Online-Rechnungen auch nicht sicherer als Online-Banking.

[SiLæncer]

Was auf der ersten Blick wie ein Pishing-Versuch aussieht, entpuppt sich als neuer Trojanerangriff. Seit gestern kursieren wieder gefälschte Mails der Telekom, die angeblich von der Telekom stammen und eine Rechnung über 257,74 Euro für den Monat Januar als PDF-Dokument enthalten. Im Anhang der Mail findet man eine RAR-komprimierte Datei, die aber statt der Rechnung einen Schädling enthält. Ein Klick auf die ausführbare Datei installiert einen Trojaner, den bislang wenige Virenscanner als "Trojan-Dropper.Win32.Agent.dw" erkennen. Bei einem kurzen Test auf Virustotal erkannten nur 5 von 14 Sannern einen schädlichen Inhalt. Immerhin warnen einige Produkte, etwa AVG, beim Entpacken des Archivs vor einer verdächtigen Datei.

Was der Trojaner genau macht, ist noch unklar. Anwender sollten auf keinen Fall den Anhang öffnen und die Signaturen ihrer Virenscanner aktualisieren. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security. Schon Mitte Dezember waren gefälschte Rechnungs-Mails der Telekom im Umlauf, die einen Trojaner enthielten. Der versuchte, eine ältere Sicherheitslücke im Internet Explorer auszunutzen.

Quelle : www.heise.de

[SiLæncer]

Bereits zum zweiten Mal in diesem Monat werden vorgebliche Telekom-Rechnungen per Mail verschickt, die ein Trojanisches Pferd enthalten. Die Mails kommen mit dem Betreff "Rechnung Online Monat Februar" oder auch nur "Rechnung Online Monat".

Der Anhang besteht aus einer ZIP-Datei (51.zip; 1,9 KB), die eine Datei "Rechnung.pdf.exe" (3,5 KB) enthält. Dabei handelt es sich laut Kaspersky Labs um das Trojanische Pferd "Trojan-Downloader.Win32.Vidlo.h". Es soll vermutlich weitere Schädlinge aus dem Internet nachladen. Durch die doppelte Dateiendung (*.pdf.exe), das verwendete Datei-Symbol und den Text der Mail soll der Eindruck erweckt werden, es handele sich um ein PDF-Dokument.

Als Absender der Mails ist <Rechnung-Online@t-com.net> angegeben. In der Mail wird behauptet, es handele sich um die Rechnung für den Monat Februar sowie den Einzelverbindungsnachweis, sofern man diesen beauftragt habe. Falls Sie eine solche Mail erhalten, öffnen Sie den Anhang nicht, sondern löschen Sie die Mail.

Quelle : www.pcwelt.de

[SiLæncer]

Als wäre die Phishing-Attacke gegen Postbankkunden am vergangenen Wochenende nicht genug gewesen, machen derzeit gefälschte Mails der Postbank die Runde, die Trojaner enthalten. Eine als Kundeninformation aufgemachte Nachricht warnt vor Phishing-Mails und bittet den Empfänger zu überprüfen, ob das eigene Konto gefährdet ist. Dazu solle man das im Anhang der Mail beigefügte Dokument öffnen. Das ist allerdings in Wirklichkeit eine ausführbare Datei (4.pdf.exe). Ein Klick darauf installiert den Schädling. Was der Trojaner genau anstellt, ist noch nicht im Detail geklärt. Bislang erkennen ihn nur wenige Virenscanner als Trojan.Vidlo.h oder Trojan-Downloader.W32.Small.aio.

Erst Mitte Januar machten erneut gefälschte Rechnungs-Mails der Telekom die Runde, die mit einem Trojaner verseucht waren. Anwender sollten keine Anhänge öffnen. Zum sicheren Umgang mit Mails und Anhängen finden Sie weitere Hinweise auf den Antiviren-Seiten von heise Security.

Quelle und Links : http://www.heise.de/newsticker/meldung/55735

[SiLæncer]

Wie schon in der letzten Woche werden erneut vorgebliche Telekom-Rechnungen per Mail verschickt, die ein Trojanisches Pferd im Anhang haben. Wieder ist es eine Datei mit dem Namen "Rechnung.pdf.exe" (6 KB, mit PDF-Symbol), die als Mail-Anhang mitgeliefert wird und wieder lädt diese einen weiteren Schädling aus dem Internet nach. Diese Datei mit dem Namen "prev.exe" installiert mehrere Dateien auf dem Rechner.

Die Mails kommen mit einem Betreff wie "Rechnung 2005", "Telekom AG" oder ähnlichen. Der Text lautet:

"Sehr geehrte Kundin, sehr geehrter Kunde,

die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 296,02 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und
-soweit von Ihnen beauftragt- die Einzelverbindungsübersicht.

Nutzen Sie auch unter www.t-com.de/rechnung-online die vielfältigen
Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und
Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links
unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online.

Mit freundlichen Grüßen
Ihre Deutsche Telekom"

Die Schädlinge werden durch Antivirus-Software zurzeit noch gar nicht oder nur unzureichend erkannt. So erkennt Antivir die per Mail versandte Datei nicht, aber immerhin die "prev.exe" als "TR/Small.aty". Bei Kaspersky ist es umgekehrt, der Mail-Anhang wird als "Trojan-Downloader.Win32.Vidlo.m" erkannt, die "prev.exe" hingegen noch nicht. Die anderen Virenscanner tappen weitgehend noch völlig im Dunkeln. Dieses Problem ist leider oft zu beobachten, wenn Malware nur regional verbreitet ist.

Trojanische Pferde in Mails mit vorgeblichen Telekom-Rechnungen sind kein neues Phänomen. Dergleichen wiederholt sich vielmehr seit November 2004 beinahe jeden Monat. Die Schädlinge rufen teilweise Porno-Seiten auf, andere spionieren Passwörter und Zugangsdaten zum Online-Banking aus.

Quelle : www.pcwelt.de

[SiLæncer]

Auf gefälschte Telekom-Rechnungen mit ausführbaren Dateien im Anhang sollte eigentlich kaum ein Anwender mehr reinfallen. Bei der neuesten Welle setzen die Urheber aber offenbar auf eine neue Taktik: Zwar ist der Text im Vergleich zu älteren derartigen Mails fast identisch, allerdings ist die aufgeführte Rechnungssumme enorm hoch. Anwender könnten bei Beträgen von 8030,53 bis 32.485,53 Euro aus Entsetzen oder Verblüffung vielleicht doch die als PDF-Datei getarnte ausführbare Datei starten. Die Hersteller von Antiviren-Software sind dabei, ihre Virensignaturen zu aktualisieren, damit ihre Scanner den Downloader-AAP.b getauften Schädling erkennen.

Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Eine erstaunliche Hartnäckigkeit legen zur Zeit auch wieder Phisher an den Tag, die diesmal mit englischen Texten Kunden der Deutschen Bank auf untergejubelten Webseiten zur Eingabe von PIN und TAN bewegen wollen. Diesmal tragen die Mails aber kein HTML-Formular in sich, sondern einen für unbedarfte Anwender schwer zu durchschauenden Link. Ein Klick darauf öffnet zwar im Hintergrund die echten Seiten der Deutschen Bank, das im Vordergrund erscheinende Fenster stammt jedoch von einem Phishing-Server.

Nutzer von Online-Banking oder anderen Finanzdienstleistungen im Web sollten sich grundsätzlich nur direkt auf der Homepage des gewünschten Dienstes einloggen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder ein Bookmark benutzen. In seltenen Fällen kann jedoch die Host-Datei des PC, etwa durch einen Pharming-Angriff, manipuliert worden sein. Dann führt auch diese Vorgehensweise auf den falschen Server.

Sämtliche Banken weisen immer wieder darauf hin, dass sie nicht per E-Mail oder gar in E-Mail-Formularen zur Eingabe von Accountdaten und PIN oder TANs auffordern. Durch verschiedene Maßnahmen versuchen die Banken zudem, den Datenklau zu erschweren. So führt beispielsweise die Bank of America ein neues Sicherheitssystem ein, nachdem Daten von rund 60.000 Kunden gestohlen wurden.

Quelle und Links : http://www.heise.de/newsticker/meldung/60027

[SiLæncer]

Am Wochenende begann eine neue Welle gefälschter Mails, die vorgeben, von der Telekom zu stammen. Sie sollen den Eindruck erwecken, die angehängte Datei sei ein PDF-Dokument mit einer Telekom-Rechnung. Tatsächlich handelt es sich jedoch um ein Trojanisches Pferd, das wiederum einen weiteren Schädling aus dem Internet lädt und installiert.

Hier der Text einer solchen Mail:

Von: <Rechnung-Online@t-com.net>
Betreff: Telekom
Datum: Sun, 3 Jul 2005 11:35:26 -0700

Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 610,12 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von
Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung
von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004
die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer
qualifizierten elektronischen Signatur zu erhalten. Sie können diese
im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte
Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir
außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines
"Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass
T-Com mehrere Rechnungsoriginale ausstellt.
Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie
auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden
unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie
bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen
Ihre T-Com
------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden
Sie unter www.t-com.de/aktuell-agb

Der Anhang der Mails ist eine Datei mit dem Namen "Rechnung.pdf.exe" und einem Dateisymbol, das dem für PDF-Dokumente entspricht. Der Schädling wurde am Sonntagabend nur von sehr wenigen Virenscannern erkannt. Lediglich Kaspersky ("Trojan-Downloader.Win32.Vidlo.p"), Bitdefender ("Trojan.PWS.Ldpinch.AK") und Clam-AV ("Trojan.Downloader.Small-665") erkannten ihn, einige weitere fanden die Datei wenigstens verdächtig. Inzwischen hat zumindest Antivir nachgezogen ("TR/Dldr.Ldpinch.AK").

Wird die Datei ausgeführt, sucht der Schädling mehrere Web-Server nach einer EXE-Datei ab, die er dann lädt. Diese Datei wird von Kaspersky und Clam-AV als Variante der "Dumador"-Backdoor erkannt. Trend Micro meldet "PE_FINALDO.B", während Antivir einen ähnlichen Namen wie für den Downloader verwendet ("TR/PSW.Ldpinch.AK").

Sinn und Zweck dieser Schädlinge ist das Ausspionieren von Passwörtern und Zugangsdaten für das Online-Banking. Ferner kann der befallene PC über das Internet ferngesteuert werden. Damit kann er als Spam-Schleuder dienen oder für Angriffe auf Web-Server missbraucht werden.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/115204/index.html

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem neuen Trojaner namens DOWNLOAD.RY. Dieser macht sich auf den Weg, seine Opfer abermals über gefälschte Rechnungs-Mails zu suchen, die angeblich von der Telekom stammen. Der hohe Rechnungsbetrag soll den Empfänger in Panik versetzen, sodass dieser unbedacht den Dateianhang der E-Mail öffnet.

Diese Trojaner-Welle unterscheidet sich also nicht grundsätzlich von denen Anfang Mai und Mitte Januar dieses und schon Mitte Dezember vergangenen Jahres. Der Trojaner lädt aus dem Internet die Hintertür Nibu.J nach und trägt sich in die Windows-Autostart-Registryschlüssel ein. Die nachgeladene Software verankert sich ebenso im Windows-Autostart.

Die Backdoor Nibu.J legt folgende Dateien im System an:
c:\WINDOWS\dvpd.dll
c:\WINDOWS\netdx.dat
c:\WINDOWS\prntsvra.dll
c:\WINDOWS\system32\dllsys.dll
c:\WINDOWS\system32\winldra.exe
Nibu.J fungiert sodann als Keylogger, der regelmäßig die gesammelten Daten ins Netz sendet. Um noch nicht aktualisierter Antivirensoftware keine Möglichkeit auf ein Update zu ermöglichen, modifiziert Nibu.J die hosts-Datei, damit die Seiten sowie Update-Server der jeweiligen Antivirensoftware-Hersteller vom infizierten System nicht mehr erreichbar sind.

Das zweistufige Konzept, den Rechner mit einem Downloader zu infizieren und dann Schadcode aus dem Internet nachzuladen, scheint für die Autoren der Schadsoftware sehr reizvoll zu sein: Diese Angriffswellen häufen sich in letzter Zeit. Die Backdoor-Komponente ist so ständig aktualisierbar und lässt sich gegebenfalls an aktualisierten Virenscannern vorbeischleusen. Die Masche dabei ist auch, die Antivirensoftware außer Kraft zu setzen, sei es über direktes Deaktivieren der Software oder über die Verhinderung von Updates.

Die meisten Hersteller von Antivirensoftware stellen mittlerweile aktualisierte Signatur-Dateien bereit, um den Schädling in den Mails zu erkennen.

Wie immer gilt auch hier, dass ein auch nur halbwegs sicheres Surfen im Netz nur mit eingeschalteter Firewall und laufend aktualisierter Antivirensoftware auf dem System ermöglicht wird. Auch darf man sich nicht durch E-Mails oder Webseiten irritieren lassen, die einem nahelegen, man müsse sein System umgehend mit der feilgebotenen Software aktualisieren oder Dateianhänge öffnen. Zu beachten ist auch, dass selbst E-Mail von Verwandten oder Bekannten einen Schädling mitbringen kann -- bei ihrer Verbreitung fälschen die Würmer und Viren die Absenderadresse. Mehr zum Schutz vor Viren und Würmen und zum sicheren Umgang mit E-Mail findet sich auf den Antiviren-Seiten und im E-Mail-Check von heise Security.

Quelle und Links : http://www.heise.de/newsticker/meldung/61396

[SiLæncer]

Bei heise Security laufen reihenweise Hinweise auf eine scheinbare Phishing-Mail ein, die sich bei näherer Betrachtung jedoch als Versuch entpuppt, dem Anwender Trojaner unterzuschieben. Der Text der Mail gibt sich als Hinweis auf eine Telekom-Rechnung aus:

Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Januar 2005 beträgt: 752,82 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht die Sie unter Ihrem Konto sehen können.

Einige wichtige Unterschiede gibt es allerdings zu früheren gefälschten Telekom-Rechnungsmails, die den Anwendern Trojaner unterjubeln wollten. Beim Klick auf den in der Mail enthaltenen Link öffnet sich tatsächlich die Telekom-Seite -- und zwar keine nachgebaute, sondern die echte. Der Trick der Betrüger: Das verlinkte Dokument besteht aus mehreren Frames. Einer davon verweist auf die echte Telekom-Seite. Der zweite hingegen bleibt versteckt und enthält codierten Skript-Code. Als URL erscheint in der Adressleiste wie häufig bei Phishing-Seiten lediglich eine nackte IP-Adresse.

Die Autoren haben sich einige Mühe gemacht, ihr eigentliches Anliegen zu verbergen: Auf den ersten Blick in den Quellcode des Frames erscheint nur unleserlicher Buchstabensalat:

<script language="VBScript.Encode"> #@~^lQwAAA==a8Fxr&1&0F%+[v1 TG+vX{yG&+1v6v+2[+ 2Fy+f!++y!*+nv2

Decodiert man dies, erhält man VBScript-Code, der nochmals verschleiert ist. Erst nach einem zweiten Decodier-Schritt zeigt sich, dass hier eine neue HTML-Seite dynamisch erzeugt wird -- und die hat es in sich. Eine erste Analyse durch heise Security zeigte, dass sie versucht, mindestens fünf verschiedene Sicherheitslücken des Internet Explorer auszunutzen, darunter eine im Hilfe-Protokoll ms-its:, das Problem mit den animierten Cursor-Dateien und einen Fehler im Java-Bytecode-Verifier. Über all diese Lücken versucht die Web-Seite Software aus dem Internet nachzuladen und zu installieren. Einen Versuch, eingegebene Zugangsdaten abzuphishen, konnten wir in den Web-Seiten hingegen nicht finden. Solche Funktionen könnten allerdings durchaus in der heimlich nachinstallierten Software enthalten sein.

Wer auf den Link klickt, um den vermeintlichen Phishing-Versuch zu begutachten, bekommt nicht mit, dass der versteckte Frame im Hintergrund versucht, sein System zu infizieren. Nach einer ersten Analyse sieht es so aus, als werden dabei nur bekannte Schwachstellen des Internet Explorer ausgenutzt, gegen die es bereits Patches gibt. Aufgrund der Komplexität lässt sich jedoch derzeit nicht ausschließen, dass auch bisher unbekannte Schwachstellen oder zumindest neue Variationen darunter sind, die auch Systeme treffen könnten, die sich auf dem aktuellen Stand befinden. Anwender sollten vorsichtshalber verdächtige Links in Mails nicht anklicken.

Quelle und Links : http://www.heise.de/newsticker/meldung/61875

[SiLæncer]

Update:

In weiteren Tests von heise Security konnte die Seite ein System mit Windows XP Service Pack 2 und allen aktuellen Patches nicht infizieren. Eine genauere Analyse ergab, dass neben den bereits erwähnten Schwachstellen im Byte-Code-Verifier und in der Behandlung von Cursor-Dateien auch zwei neuere Lücken ausgenutzt werden: Ein Problem mit der eingebauten Hilfefunktion und eines mit dem ActiveX-Control DHTML-Edit -- beide hat Microsoft Anfang des Jahres behoben.

[SiLæncer]

Eine neue Welle von gefälschten Rechnungen findet derzeit ihren Weg in die Postfächer von Internetnutzern -- dieses Mal handelt es sich aber nicht um gefälschte Telekom-Rechnungen, sondern die Mails stammen vorgeblich vom Versandhändler Otto. Im Anhang der Mail findet sich ein Trojaner. Der vom Phishing bekannte Trend, unter gefälschter Flagge mehrerer Unternehmen zu segeln, greift nun auch auf die Rechnungsmails mit angehängtem Downloader über.

Wie schon bei den gefälschten Telekom-Rechnungen ist die Datei "rechnung.pdf.exe" im Mailanhang zu finden. Hierbei handelt es sich eine neue Variante der Download-Trojaner-Familie Vidlo, die bei Ausführung weitere Komponenten aus dem Internet nachlädt. Laut Andreas Marx von AV-Test erkennen ihn derzeit die Virenscanner von ClamAV, Kaspersky, Nod32 und QuickHeal; die Scanner von BitDefender, F-Prot, Fortinet, Ikarus, Norman, Panda und Symantec entdecken zudem über ihre Heuristik den Schädling. Die Antiviren-Hersteller werden hoffentlich bald neue Signaturen nachliefern, mit denen der Trojaner zuverlässig erkannt wird.

Auch wegen der möglicherweise nicht vorhandenen Antivirensignatur ist bei nicht erwarteten Mails besondere Vorsicht angebracht. Besonders wenn diese versuchen, starken Druck auf den Anwender aufzubauen, sollte man auf keinen Fall aus Panik enthaltene Dateianhänge öffnen. Es könnte sich dabei um Viren, Trojaner oder andere Schadsoftware handeln. Auch Links in derartigen Mails sind potenziell gefährlich. Die Website, auf die sie verweisen, könnte vorhandene Sicherheitslücken in Webbrowsern ausnutzen und darüber Schadsoftware auf dem Rechner einschleusen.

Auch außerhalb des Internets ist man nicht vor unberechtigten Rechnungen gefeit. Da auf vielen Internetseiten ein ausführliches Impressum zu finden ist, kann ein argloser Website-Betreiber auch Opfer von solchen Rechnungen werden. Hier ist es allerdings mit dem Löschen der Post nicht getan, derartige Rechnungen fordern dem Empfänger gegebenenfalls auch juristische Gegenmaßnahmen ab.

Quelle,Links und mehr : http://www.heise.de/newsticker/meldung/62315

[Jürgen]

Soweit ich weiss, muss ein Impressum die Post- bzw. E-Mail-Adresse nicht unbedingt in maschinenlesbarer Form enthalten.
Die Verbreiter solchen Schmutzes aber suchen ihre Opfer-Adressen selten von Hand aus, weil ihnen nur massenhafte Verbreitung den erhofften Erfolg verspricht.
Also kann statt Text durchaus ein jpg infrage kommen, natürlich nicht mit diesen Daten im Titel oder Alternativ-Text.
Auch möglich sind für Menschen nicht störende und gelegentlich geänderte Verstümmelungen wie z.B.

T e x t

oder

T*e*x*t

oder auch

me (at) home.dom

usw.

[SiLæncer]

Pünktlich zur Reisezeit haben sich die Virenautoren eine neue Masche einfallen lassen, um ihre Schädlinge an den Mann zu bringen. Als angebliche Rechnungs-Mail für einen beim Online-Reisedienst Opodo gebuchten Flug landet ein Trojaner im Anhang beim Empfänger:

Sehr geehrter Opodo-Kunde,


vielen Dank für Ihre Buchung bei Opodo.


Wir schicken Ihnen Ihre Reisedokumente
umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb
der nächsten drei Werktage erhalten,
setzen Sie sich bitte mit unserem
Kundenservice in Verbindung.


Bitte begleichen Sie umgehend die
offene Rechnung: 759.99 Euro
(im Anhang beigelegt)



...

Ein Klick auf den Anhang rechnung.pdf.exe öffnet dann allerdings kein PDF-Dokument, sondern erweckt den Schädling zum Leben. Was er im Detail anrichtet, wird noch genauer untersucht; nach bisherigen Erkenntnissen lädt der Schädling weitere Dateien aus dem Internet nach, die unter anderem den Wurm Dumadur/Dumaru enthalten. Ältere Versionen von Dumadur/Dumaru öffneten Hintertüren und versuchten vertrauliche Daten auf dem System auszulesen. Der neue Rechnungs-Trojaner scheint aber noch nicht besonders weit verbreitet zu sein.

Bislang erkennen nicht alle Virenscanner den Eindringling zuverlässig. Anwender sollten deshalb keine Anhänge in Mails öffnen, die angeblich von Opodo stammen. Opodo empfiehlt, die Mails einfach zu löschen. Auf die gleiche Weise sollten Anwender vorgehen, die vermeintliche Rechnungen der Telekom per Mail erhalten. Der Trojaner versucht sich derzeit alternativ auch über solche Mails zu verbreiten.

Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Quelle und Links : http://www.heise.de/newsticker/meldung/62713

[SiLæncer]

Eine neuere Variante des Trojanischen Pferds lädt sich zur Tarnung ein Rootkit herunter.

Gestern wurden weitere, neue Varianten eines Schädlings verbreitet, über den wir bereits am Montag berichteten . Neben einer leicht modifizierten Fassung ist darunter auch eine gänzlich andere Version, die sich mit einem Rootkit tarnt.

Zunächst wurde eine modifizierte Variante verbreitet, die offenkundig nur die inzwischen aktualisierten Virensignaturen von Antivirus-Programmen umgehen sollte. Später kam dann eine neue Fassung in Umlauf, die mehrere Rootkits installiert. Diese dienen dazu, das eigentliche Trojanische Pferd vor den Augen des Anwenders und vor Antivirus-Programmen zu verbergen.

Die Mail, mit der diese Version des Schädlings verbreitet wird, unterscheidet sich nicht signifikant von bisherigen Beispielen. Es wird einem Betreff wie "Telekom Rechnung" der übliche Text verschickt, der eine relativ hohe Summe nennt, im vorliegenden Beispiel sind es 628,97 Euro. Das soll den Empfänger der Mail veranlassen den Anhang zu öffnen, der als "rechnung.pdf.exe" angefügt ist.

Wird die Datei vom Benutzer geöffnet, installiert der Schädling ein Rootkit, das auch den Einsatz von Anti-Rootkit-Programmen wie F-Secure Blacklight verhindern soll. Dieses Rootkit ist bereits in der Datei enthalten, die per Mail verschickt wird. So meldet AntiVir bei der "rechnung.pdf.exe" den Schädling "TR/Dldr.TcomB.I.1.B", während Kaspersky-basierte Virenscanner "Backdoor.Win32.Haxdoor.es" melden. "Haxdoor" bezeichnet eine Familie von Rootkit-Varianten, die auch als "Hacker Defender" bekannt ist.

Mit einem weiteren Rootkit aus dieser Familie wird ein Key-Logger namens "Goldun" getarnt, der Eingaben in Online-Formulare von "E-Gold" protokolliert, einem Online-Bezahlsystem. Ferner werden unter Dateinamen wie "tBmp207.exe", "tBmp307.exe", "TheBat!7.51.256.exe" oder "NAV_updates__05.exe" Kopien dieses Key-Loggers angelegt.

Die meisten der schädlichen Dateien werden von vielen Virenscannern erkannt, es gibt jedoch auch einige Lücken in der Erkennung, so unter anderem bei McAfee, AVG, F-Prot und Trend Micro. Diese Lücken dürften jedoch mit den nächsten Updates geschlossen werden.

Quelle : www.pcwelt.de