Dieser Trojaner tarnt sich, ähnlich wie seine Vorgänger, als Rechnung – diesmal von Ebay. Der 11.213 Bytes große Trojaner mit mittlerweile wieder einmal diversen Namen hat nach ersten Überprüfungen keine eigene Versandroutine, sondern wurde direkt versendet. Sein Ziel ist es, von verschiedenen Webseiten einen Peer-To-Peer-Wurm auf den befallenen Rechner herunterzuladen. Zum gegenwärtigen Zeitpunkt befindet sich dieser Peer-To-Peer-Wurm noch in der genauen Analyse der Antivirenspezialisten.

Die angebliche Ebay-Rechnung hat folgende Merkmale:

Von: kundensupport'at'ebay.de
Betreff: 7 Tage bis Ihre Kontosperrung
Dateianhang: Ebay-Rechnung.pdf.exe

Hier ein paar Auszüge aus der Symantec-Analyse:

Zitat:

Payload: Downloads and executes remote files on the compromised computer. Payload: Lowers security on the compromised computer by modifying internet security settings. Symptoms - -------- Presence of the following files: %System%\ipwf.exe %System%\drivers\winut.dat ebay-rechnung.pdf.exe Presence of the following registry entries: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"IPFW" = "%System%\ipwf.exe" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"[CURRENT FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"%System%\ip wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\"WindowsShell " = "1" Technical Description - --------------------- Renamed from Trojan.Downloader.UC Trojan.Schoeberl is a Trojan horse that downloads and executes remote files. This threat was spammed out by email as an attachment with the name ebay-rechnung.pdf.exe Once executed, the Trojan creates a copy of itself as %System%\ipwf.exe. The Trojan also drops the file %System%\DRIVERS\winut.dat The Trojan then creates the following registry entries so that it runs every time Windows starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"IPFW" = "%System%\ipwf.exe" The Trojan also creates the following registry entries to add itself to the Internet Connection Firewall bypass list: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"[CURRENT FILE]" = "[CURRENT FILE]:*:Enabled:[CURRENT FILE]" HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Paramete rs\FirewallPolicy\StandardProfile\AuthorizedApplic ations\List\"%System%\ip wf.exe" = "%System%\ipwf.exe:*:Enabled:ipwf" Next, the Trojan attempts to download a text file from the following URLs: AUS SICHERHEITSGRÜNDEN EDITIERT ! The text file contains encrypted URLs. Next, the Trojans decrypts the URLs and saves them to the following file: %System%\drivers\winut.dat The Trojan the attempts to connect to the URls and download execute a file. At the time of writing the file downloaded is W32.Starimp (MCID 5800) Next, the Trojan ends processes having one of the following name, some of which may be security-related: ZAPRO zonealarm armor2net tpfw NPROTECT MpfService kpf4gui kpf4ss firewall ccapp amon Finally, the Trojan creates the following registry entry to store its status: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\"WindowsShell " = "1"

Quelle: Symantec
URL zur Zeit noch nicht erreichbar...

Hi cronos,

eigentlich ist es zwar nicht wirklich wichtig, aber imho handelt es sich um 2 versch. Malwarevarianten...

Aah jetzt ja.
Jetzt habe ich den Zusammenhang wieder gefunden.
Danke, cronos!

Hallo,

was ich mich bei solchen Sachen immer wieder frage: Spricht es sich wenigstens irgendwann in kleines bisschen herum, wie leicht sich solche E-Mails enttarnen lassen

- Der Betreff:

Zitat:

7 Tage bis Ihre Kontosperrung

... tolles Deutsch

- Die Anrede:

Zitat:

Hallo sehr geehrter Ebay Nutzer

... dazu aus einer Original-eBay-Nachricht:

Zitat:

eBay hat diese Mitteilung an Bernd XXeditiertXX (soul115) gesendet. Ihr Vor- und Nachname in dieser Mitteilung sind ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt.

- Die Umlaute:

Zitat:

Wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von ...

... aus einer Original-eBay-Nachricht:

Zitat:

Herzlichen Glückwunsch, der Artikel gehört Ihnen.

Wer klickt bei sowas, und darüber hinaus womöglich auch noch im Wissen, gar keine offene Rechnung zu haben, auf einen Dateianhang

Wenn ich mir allerdings die gut versteckte Warnung bei Ebay anschaue, dann wird es sprachlich auch nicht wesentlich besser...

Zitat:

Montag, 12. September 2005 | 13:58 Uhr MEZ Liebe eBay-Mitglieder, derzeit kann es leider vorkommen, dass Sie per E-Mail eine gefälschte Zahlungsaufforderung erhalten, die vorgibt, von eBay gesendet worden zu sein. Diese E-Mails werden jedoch nicht von eBay versendet. Die gefälschten Zahlungsaufforderungen haben beispielsweise den Betreff „Ihre Gebühren“ und den Absender „eBay Collection“ oder „eBay Finance“. Zumeist ist meist eine Rechnung im pdf-Format als Anhang enthalten und sie werden gebeten einen Betrag z. B. 80,74 DO 752 EUR gemäß… innerhalb von 5-7 Tagen zu zahlen. Bitte beachten Sie, dass eBay keine Rechnungen als Anhang im pdf-Format sendet. Öffnen Sie den Anhang bitte nicht. Bitte leiten Sie uns diese gefälschten E-Mails an spoof'at'ebay.de weiter. Alle wichtigen E-Mails, Ihr eBay-Mitgliedskonto betreffend, finden Sie auch in „Meine Nachrichten“ in „Mein eBay“. So können Sie überprüfen, ob eine E-Mail wirklich von eBay gesendet wurde Danach können Sie die E-Mail löschen. Ändern Sie bitte auch zur Sicherheit Ihr Passwort bei eBay. Weitere Informationen zum Thema gefälschte E-Mails finden Sie im eBay-Sicherheitsportal. Vielen Dank für Ihre Mithilfe. Freundliche Grüße Ihr eBay-Team

Quelle: Ebay