G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Trojan-Spy.Win32.Gepost.a auch bekannt als Trojan-Proxy.Win32.Agent.hx ist ein Trojanisches Pferd, das momentan verstärkt per Spam E-Mail verbreitet wird. Die E-Mails haben variable Absender und Betreffs wie:

Customer support (Ref: [ZIFFERN])

GOLDNOW SHOP Billing Team (Ref: [ZIFFERN])

Ordering information (Ref: [ZIFFERN])

Transaction information (Ref: [ZIFFERN])

Transaction processing (Ref: [ZIFFERN])

Der englische Text teilt lapidar mit, dass Ihre IP-Adresse auf 21-29 Webseiten geloggt wurde. Im angehängten Formular soll man dazu Stellung nehmen. Der Dateianhang ist eine ZIP-Datei, deren Name aus drei Buchstaben und drei Ziffern besteht. Sie enthält eine Datei namens "qform.exe". Wenn Sie der Aufforderung nachkommen und diese Datei starten, wird eine Pseudo-Fehlermeldung angezeigt, in der angegeben wird, dass eine Komponente nicht gefunden wurde. Im Hintergrund kopiert Gepost Dateien in das Systemverzeichnis, trägt sich in der Registry ein und tarnt sich als Explorer-Modul. So sorgt der Schädling dafür, dass er bei jedem Neustart aktiv wird, ohne in der Liste aktiver Prozesse des Task-Managers aufzutauchen. Dann beginnt Gepost damit, den Rechner nach Informationen über das Betriebssystem, Verzeichnisnamen, Netzwerkdaten, installierte Software zu durchsuchen und überträgt die gefundenen Daten an bestimmte Webseiten.

Fallen Sie also nicht auf diesen Trick herein, der schon Sober.y so erfolgreich gemacht hat. Seien Sie besonders vorsichtig, wenn Sie E-Mails erhalten, die eine Referenznummer enthalten und angeblich vom CIA stammen und aktualisieren Sie Ihren Virenschutz.

Weitere Informationen:

Trojan-Spy.Win32.Gepost.a im Virenlexikon des AntiVirusLab

Text der Nachricht:

Dear Sir/Madam,

we have logged your IP-address on more than [ZAHL] illegal Websites.

Important:

Please answer our questions!

The list of questions are attached.

Yours faithfully,

Steven Allison