27.07.2011 10:17
Bredolab zurück?
Auch wenn diverse Quellen (zB Wikipedia) erklären, dass das Bredolab-Botnetz seit letztem Jahr mehr oder weniger tot sein sollte, finden unsere Scanner in den letzten paar Tagen eine durchaus beachtliche Menge der bekannten Attachments.
Meistens als .exe in einem Zip-Attachment, ClamAV erkennt das als
Clamd: Chnglog_N267.zip was infected: Trojan.Generic.Bredolab-2 Clamd: Changelog_NP83.exe was infected: Trojan.Generic.Bredolab-2Andere AV-Engines erkennen dies unter anderen Namen, zB "Agobot", vgl. Virustotal. Auch eine Menge "Agobot" (MD5: 6ac47b52237f3b112c3ba7cfef9872d3, Virustotal link) die nicht als "Bredolab" erkannt werden, sind momentan dergestalt (exe-in-zip) unterwegs, hier ist die Erkennungsrate noch eher schlecht (6/43 laut Virustotal).Die Moral ist natürlich: Executables in Email-Attachments am besten komplett verbieten.Autor: Robert Waldner