Blog

Wieder FAX-Trojaner

Heute war mal wieder was los in meinem Postfach. Wie bei meinem Beitrag vom 28.04.2014 “Wieder Trojaner per eMail – Als Fax getarnt” bereits beschrieben und erlebt, füllte sich ein privates Postfach von mir mit neuen Fake-FAX-eMails mit unbekanntem Anhang. Zeitgleich hörte ich auch von Kollegen in meiner Behörde, dass deren dienstliches Postfach zugespamt wurde. Ich konnte die Malware dann auch einsehen. Ein weiterer Kollege informierte mich, das GMX diese eMails scheinbar rausfiltert. Nun ja! Nach einem Test mit mehreren Antivirenherstellern – OH GRAUEN – wurde keine der Dateien als Malware erkannt. Habe die Dateien dann sogleich eingesendet bei einigen Anbietern. Ich gehe mal davon aus, dass morgen früh alles was ich runtergeladen habe von meiner Sicherheitssoftware weggeballert wird. Die einfachen Datei-Details der Malware zeigen folgende Daten:

fax-sukyv-fate-caves-letter-exe

Also wie immer: Vorsicht bei angeblichen FAX-Sendungen per eMail. Gerade bei Unternehmen ist das sicher kritisch, sollte aber dennoch beachtet werden.

Diesmal habe ich mir die eMail-Header genauer angeschaut. Diesmal betroffene Domains: marceldiel.de , proforen.de und kahle.de. Es gibt eine hohe Wahrscheinlichkeit, dass direkt über deren SMTP-Server versendet wurde. Ich habe die betroffenen Inhaber mal angeschrieben und informiert. Es ist ja nicht ausgeschlossen, dass deren Systeme übernommen wurden. Pech, wenn die Domain nur als gefälschte Absenderadresse missbraucht wurde. Das ist dann ärgerlich, weil es schnell den Ruf kosten kann. Den kostet es aber auch, wenn man zur Sicherheit nichts unternimmt und wirklich die eigenen Systeme unter fremder Kontrolle stehen. Da mehrere Antivirenhersteller bisher nichts erkannt haben, ist die Sache sogar noch unangenehmer, weil man als Nutzer schlicht NICHTS tun kann. Höchstens warten.

Update:

Einige Anbieter können mit den FAX-Dateien mittlerweile was anfangen:

Ein Anhang wird beim Schreiben dieses Updates von 14 von 53 Antivirenanbietern erkannt: fax_B54224EE4696C912441C.exe

Ein zweiter Anhang wird von nur 1 von 49 Anbietern als gefährlich eingestuft: fax_3C1408617098D632222C.exe

Und der dritte Anhang von 15 von 51 Anbietern erkannt: fax_419269096480A060316D.exe

Die Namen der Anbieter für die Trojaner sind vielfältig:

Generic_s.DOG
Trojan.Zbot.IGZ
TR/Rogue.AD.605605
Win32:Trojan-gen
Trojan.Zbot.IGZ
W32/Trojan.TBHS-8484
Win32/TrojanDownloader.Elenoocka.A
Trojan.Zbot.IGZ (B)
Trojan.Zbot.IGZ
Trojan-Spy.Zbot
Trojan.Zbot.IGZ
PE:Trojan.Kryptik!1.9A50
Troj/Zbot-IJL
TROJ_GEN.F0D1H00EQ14

Tagged , , , , ,