Trojanischer Vertrag per Mail

Am Wochenende sind Malware-haltige Mails Spam-artig verbreitet worden, in denen der Verfasser vorgibt, es handele sich um einen von Juristen geprüften Vertragsentwurf. Die Empfänger werden aufgefordert, den vorgeblich im Anhang zu findenden Vertrag zu lesen und eine Entscheidung zu treffen. Um welche Art von Vertrag es sich handeln soll, deutet lediglich der Betreff der Mails an. Dieser lautet zum Beispiel „Abbuchungserlaubnis“, „Tilgungsvertrag“ oder auch „Mietvertrag“.

Im Anhang der Mails befindet sich ein 38 KB großes, komprimiertes RAR-Archiv (Vereinbarung.rar), das die vorzeitige Entdeckung durch Virenscanner verhindern soll. Es enthält eine Datei namens „vertrag.exe“, die jedoch keinen Vertragstext sondern ein Trojanisches Pferd enthält. Diese installiert ein Rootkit aus der Wsnpoem-Familie.

Es installiert sich als „ntos.exe“ im System32-Verzeichnis von Windows und legt die Dateien „audio.dll“ und „video.dll“ im Verzeichnis C:Windowssystem32wsnpoem an. Letztere dienen zum Sammeln und Speichern von Informationen sowie zur verschlüsselten Speicherung der Konfiguration des Schädlings. Die ntos.exe wird hingegen in die Registry eingetragen, um bei jedem Windows-Start geladen zu werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.