05.09.2007, 00:00 Uhr
Warnung vor "Funny Cards" - sie verweisen auf Trojan-Downloader
Zur Zeit häufen sich E-Mails mit vermeintlich verlockenden Angeboten. G DATA warnt eindringlich vor dem Öffnen der gepackten Anhänge - Zielgruppe der Mails sind Bildersammler und Gamer. Nach Öffnen der Datei wird die Windows Registry modifiziert und im Internet Explorer ein Dienst integriert, der Port 80 freigibt und auf einen Trojan-Downloader verweist - (G DATA erkennt diesen als Downloader.Win32.Agent.crz). Das Schadprogramm wird unbemerkt vom Anwender im Hintergrund geladen.
1. Die E-Mail ist leicht an der Betreffzeile zu identifizieren:
'Here is it'
'Hot game'
'Hot pictures'
'Something hot'
'You ask me about this game, Here is it'
2. Unterschiedliche Variationen des Mailtextes:
Good Day, dear Friend!
Monica T. sent you animated card. You can check this in your attachment.
Best regards,
Your Funny Cards.
------------------------------------
Good morning, dear!
Jane sent you animated card. You can check this in your attachment.
Best regards,
Your Funny Cards.
------------------------------------
Hello, dear!
Barbara S. sent you animated card. You can check this in your attachment.
Best regards,
Your Funny Cards.
3. Dateianhang:
iloveyou.zip, 19.340 Bytes, MD5: D9473ADDD98616AB9A0C8614701491DF
enthält: iloveyou.exe, 20.992 Bytes , MD5: 8BCA29CBA410AA9EAF16F8CE280FB7E0, G DATA erkennt das Schadprogramm als Trojan-Downloader.Win32.Agent.crz
(ph) http://www.gdata.ch