E-Mails von 25.000 IP-Adressen identifiziert und abgefangen, die einen Virus enthalten

Wird die Malware aktiviert, kopiert sich der Trojaner in das Windows-Systemverzeichnis

(01.08.08) - MessageLabs hat seit dem 16. Juli E-Mails von 25.000 IP-Adressen identifiziert und abgefangen, die einen neuen Virus enthalten. Der Absender dieser Mails ist postcards@hallmark.com und die Betreffzeile lautet "You've received a Hallmark E-Card!". Angehängt ist ein Attachment mit dem Dateinamen postcard.zip.

Das Botnet Storm machte Virenangriffe via E-Postkarten seit letztem Jahr populär und dieser jüngste Angriff ist eine neue Variante. Der Unterschied ist, dass anstelle des direkten Links auf einen manipulierten Server, der Malware enthält, diese nun als Attachment in der E-Mail daherkommt.

Wird die Malware aktiviert, kopiert sich der Trojaner in das Windows-Systemverzeichnis. Als Datei namens postcard.exe fügt er einen Run Key in das Windows-Verzeichnis ein, so dass die Anwendung automatisch startet, sobald der Computer wieder hochgefahren wird. Der Trojaner vernetzt den gekaperten Rechner mit einem IRC Botnet. Daraufhin werden Viren-E-Mails an andere E-Mail-Adressen versandt, zum Teil auch an Adressen, die durch das Scannen des befallenen Rechners erfasst wurden.

Die Versendung erfolgt stoßweise. Hohe Raten wurden erneut am 23. Juli verzeichnet.

Hier das Beispiel der betreffenden E-Mail:

(MessageLabs: ra)