Gerade ist hier eine Mail aufgeschlagen mit einer Exe als Anhang. Diesmal wird dem User vorgegaukelt, das Reisetickets an ihn Versand wurden. Vorherige Mails dieser Art waren als http://www.heise.de/security/news/meldung/55183 getarnt. Bei dieser wird Opodo.de als Aufmacher genutzt.
Hier der Mailtext:
"Sehr geehrter Opodo-Kunde,
vielen Dank für Ihre Buchung bei Opodo.
Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.
Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)
Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.
Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.
Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.
Wir wünschen Ihnen eine gute Reise!
Ihr Opodo-Team"
Zur Zeit wird der Anhang von diesen AV-Programmen erkannt:
BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-674
F-Prot Antivirus Found unknown virus (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)
Anscheinend wird jetzt versucht den Trojaner mit mehreren Mail Varianten zu ueberzeugen. Gerade ist auch noh diese Mail hier angekommen, wieder als Telekom Aufmachung:
"Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 547,18 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.
Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen
Ihre T-Com"
Kav erkennt nun auch . als Trojan-Downloader.Win32.Small.bgp
Als Rechnungsversion der Telekom hab ich den Trojaner auch schon bekommen. Mi der Endung pdf.exe ! Und der Rechnungssumme von 1500€ für den Monat Juni05
PC Welt berichtet mittlerweile auch darueber recht ausfuehrlich:
http://www.pcwelt.de/news/sicherheit/117711/index.html
Hier jetzt auch aufgeschlagen, verschickt wurde er über einen ISP in Washington, DC.
Es scheint wieder eine neue Version zu geben.
Das Jotti-Ergebnis (wurde, wenn überhaupt, dann nur heuristisch erkannt!):
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found BehavesLike:Win32.ExplorerHijack (probable variant)
ClamAV
Found nothing
Dr.Web
Found DLOADER.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-PSW.LdPinch.5
Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?
Jau, stimmt! Schick ich aber noch weiter.
Die Mail kam übrigens aus Südkorea:
IPv4 Address : 211.177.224.0-211.177.224.255
Network Name : HANANET-INFRA
Connect ISP Name : HANANET
Connect Date : 20000728
Registration Date : 20041013
[ Organization Information ]
Organization ID : ORG3930
Org Name : Hanaro Telecom Inc.
State : SEOUL
Address : Shindongah Bldg, 43, Taepyeongno2-ga, Jung-gu
Zip Code : 100-733
Evtl. offener Mailserver? IP 211.177.224.230
Das ist moeglich, diese Trojaner wurden oeffters ueber BOT Netze verschickt. Also muss es nicht unbedingt eine deutsche herkunft sein!:)
Wie lautete denn der Orginale Dateiname, bzw die komplette Mail? Wenn du sie komplett forwarden koenntst.......
Der Dateiname ist Original gewesen.
Hier der Quelltext (ohne Datei). Der X-Virus-Scan-Header wird vermutlich auch vom Schädling eingefügt!
Siehe auch <o0b50y6d782f.dlg@schrottadresse.de> bzw. http://groups.google.de/group/de.comp.security.virus/browse_thread/thread/4acebbc5c0429ea9/9d64a1f43d72daa0#9d64a1f43d72daa0
Komischerweise sind alle(!) Dateien, die es herunterladen will nicht mehr auf den Servern drauf und er sucht einige Server ab!
Ich kann nicht glauben, dass die Serverbetreiber so schnell sind. Vielleicht hat der Verursacher kalte Füße bekommen?
Wo sind die Server? Mein Tip wäre Korea, Ukraine, Brasilien?
Auf anhieb wuerde ich sagen, das sind alle russische, bis auf einen deutschen. Das sind wohl alles Server, die nicht gut abgesichert waren und so wurde versucht da die Dateien zu positionieren!?
Ich hatte vermutet, es wären Server bei Spam-Providern gewesen. Aber Russland passt ja auch ganz gut dazu.
Heute nacht gabs wohl wieder einen Wurm-Run mit Telekom-Trojan-Downloadern, bei mir sind drei Stück auf drei verschiedenen Adressen aufgeschlagen, bei Jotti werden sie nur von vier Scannern erkannt.
Versandt wurden sie über Kisten in China, Brasilien und Argentinien.
Mail an virus[at]rokop-security.de ist raus zwecks Verteilung an die AV-Firmen.
Ist gerade angekommen, ich leite es an die entsprechenden Personen weiter.
Vielen Dank!
Nur als kleine Zwischenbemerkung, auch diese Vaiante laedt bis jetzt nichts herunter, da, wie beim letzten Trojaner auch, alle Downloadquellen nicht mit der Datei bestueckt sind, die er herunterladen moechte.
ich schätz da kennen einige schon wieder was nicht...kein mc afee, kein symantec, bitdefender, und so weiter:
Das ist das Ergebnis von VirusTotal:
This is a report processed by VirusTotal on 11/05/2005 at 18:36:15 (CET) after scanning the file "T-Com-Rechnung.pdf.exe" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.05.2005 TR/Dldr.TComBill.H
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.05.2005 TR/Dldr.TComBill.H
BitDefender 7.2 11.05.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 TrojanDownloader.Agent.yn
ClamAV devel-20050917 11.05.2005 no virus found
DrWeb 4.33 11.05.2005 Trojan.DownLoader.5160
eTrust-Iris 7.1.194.0 11.04.2005 Win32/FWKill!Trojan
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.04.2005 suspicious
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found
Kaspersky 4.0.2.24 11.05.2005 Trojan-Downloader.Win32.Agent.yn
McAfee 4621 11.05.2005 no virus found
NOD32v2 1.1276 11.04.2005 a variant of Win32/TrojanDownloader.Agent.UF
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found
Sophos 3.99.0 11.05.2005 Troj/Dloader-YF
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 no virus found
VBA32 3.10.4 11.04.2005 suspected of Trojan-Downloader.Agent.36
Es ist doch immer wieder das selbe.
Mal erkennt der eine Scanner etwas eher als die anderen, mal ist es wiederum ein anderer.
Das wird auch immer so bleiben.
@rock
hab ich dir nicht schonmal gesagt das die onlinescanner nicht alles kennen .
Das Symantec-Produkt, welches VT insetzt, ist afaik nicht Norton, sondern die Enterprise(?)/Firmen Version. Da kann es unterschiede geben.
ja nur ist nicht nur smyntec sondern auch mc afee, panda, bitdefender, auch kaspersky etc...manchmal dabei die scheinbar mit uralten engines verwendet werden - oder wie soll das gehen bei ergebnissen wo gleich die hälfte danebensteht...war ja letztens auch so...
in einigen fällen wo ich selbst samples hochgeladen habe, stand auch bei mc afee no virus fund...und das war auch wirklich so! leider...
Bei einigen steht dabei, was genutzt wird. Z.B. nehmen sie auch noch KAV 4.0 anstatt 4.5 oder mindestens 5.x, Bei Antivir und Nod32 scheint es genauso zu sein.
danke für die info.
Bei Antivir ist es wohl korrekt, da die Verkaufsversion von Antivir noch die Version 6.32.0.6 hat.
Das sind kleine Updates, die Avast von Zeit zu Zeit herausbringt. Vieleicht gab es da einen kleineren Bug, der so nur bei VT auftrat, bzw behoben werden musste, damit sie damit arbeiten koennen.Ich denke innerhalb der naechsten Woche(n) wird die 4.6.7xx kommen. Eine Beta dazu gibt es wohl schon. Das Avast diesen Trojaner nicht kennt, ist normal, das ist eine komplett andere Version als die von letzter Woche.
morgen,
ich find das aber recht eigenartig...das manche scanner da mit alten signaturen/versionen/bugs etc. antreten, gegen manche oder einen...der aktuell dasteht.
so kann man sich täuschen und unabsichtlich andere hersteller "schlecht machen"!
(als testender mit dem ergebnis was man dann erhaltet!)
Das koeennen leider nur die jungs von VT beantworten und es muss nicht unbedingt deren Schuld sein. Sie werden Konsolenversionen der Scanner nutzen, bzw mit Optionen arbeiten. Vieleicht haben einige neuere Versionen dies Optionen, bzw konsolenscanner nicht?
Es blieben ja auch nur KAV und NOD32 ueber, so wie ich das jetzt sehe
ja schade aber trotzdem...es zählt das ergebnis...und das passt einfach nicht.
ich hatte immer virustotal empfohlen...auch wegen der renomierten scanner die bei jotti nicht dabei sind. (werd ich mir jetzt überlegen - ob es sinnvoll ist weiterhin VT zu verwednen)!
ja auch an sengel@XXX.de
Gorgo: Mailaddy ungültig gemacht! Wenn du Malware sammeln möchtest, dann tu das bitte woanders!
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)