#1 20. September 2007 "Es wurden von Ihrer Karte EUR 497.5 abgebucht" – so und ähnlich lauten die Betreffzeilen einer derzeit kursierenden Massenmail, mit der bösartige Individuen versuchen, arglosen Opfern einen Trojaner unterzuschieben. Die Links in der Mail verweisen jedoch allesamt auf einen Server, der dem Anwender einen Trojaner zum Download anbietet. In der Mail wird erklärt, dass man den im Mail-Betreff genannten Betrag nun bei dem Online-Casino gutgeschrieben bekäme und dort verspielen könne. Ein PDF-Kontoauszug sei auch verfügbar. Der Link verweist jedoch auf eine Datei, die mit bekannten Methoden ihre ausführbare Natur zu verschleiern versucht: Zwischen dem Dateinamen mit der vermeintlichen Endung .pdf und der eigentlichen Dateiendung .exe stehen zahlreiche Leerzeichen. Diese Datei wird derzeit nur von wenigen Virenscannern erkannt und höchstwahrscheinlich, wie inzwischen üblich, in kurzen Abständen auf dem Server ausgetauscht, um der Entdeckung mit aktualisierten Signaturen der Virenscanner zu entgehen. Es handelt sich dabei um einen etwa 10 KByte großen Downloader, der bei der Ausführung erst den eigentlichen Trojaner aus dem Netz nachlädt. Außerdem nimmt der Downloader einer Sandbox-Analyse von heise Security zufolge Änderungen an den Registry-Einträgen im Winsock-Katalog vor, wo er sich möglicherweise als Layered Service Provider (LSP) einträgt, um die Netzwerkkommunikation anderer Anwendungen über Windows-Sockets zu überwachen. Der etwa 110 kByte große, nachgeladene Trojaner landet im temporären Ordner als tro.exe. Wenn der Downloader das Schadprogramm ausführt, installiert es sich als Browser-Helper-Object (BHO) und legt die Datei routemon.dll im System32-Verzeichnis von Windows an. Dabei handelt es sich um eine weitere Kopie des Schädlings. Der Virenscanner von Ikarus stuft den nachgeladenen Trojaner als Trojan-Spy ein, der es offenbar auf sensible Daten von Anwendern abgesehen hat. Empfänger dieser Mail sollten den Links darin nicht folgen und sie umgehend löschen. Weitere Hinweise zum Schutz vor einer Infektion mit Schädlingen liefern die Antiviren-Seiten von heise Security. (dmk/c't) Quelle: http://www.heise.de/newsticker/meldung/96270/from/rss09 + Multi-Zitat Zitieren
#2 20. September 2007 AW: Trojaner-Welle vom Online-Casino Wie dreist. Ich hatte auch schon eine so ähnliche Mail aber bei mir hat der Antivirenscanner sofort Alarm geschlagen. Ich versteh aber nicht , warum diese Methode nicht von allen Scannern erkannt wird wenn sie shcon so alt ist. + Multi-Zitat Zitieren
#3 21. September 2007 AW: Trojaner-Welle vom Online-Casino weil es jedes mal ein neuer Trojaner ist? und Neuer trojaner = nicht bekannt bis sie den Antivirus dem entsprechend umgebastelt haben... tz tz tz.... + Multi-Zitat Zitieren
#4 21. September 2007 AW: Trojaner-Welle vom Online-Casino Vor allem, da es vielen glaubhaft gemacht werden kann, dass für irgendwas ein entsprechender Betrag abgebucht wurde. Die Mailanbieter werden wohl sowieso recht schnell solche Mails filtern und Kasperky & Co. werden auch schnell Updates für den raus bringen. Dennoch dreist sowas + Multi-Zitat Zitieren