In dieser Woche werden wieder Spam-artig Mails verbreitet, die eine vorgebliche Rechnung der Auktionsplattform Ebay enthalten. Die im Anhang mitgeschickte Malware scheint sich darauf zu verlassen, dass die Empfänger auch eine bereits früher versandte, ähnliche Mail und deren Anhang geöffnet haben.
Die Mails werden mit einem Betreff wie "eBay Rechnung vom 14 August 2006" verschickt. Im Anhang befindet sich ein ZIP-Archiv namens "Ebay-Rechnung.pdf.zip", das die Datei "ebay-rechnung.pdf.exe" (13.824 Bytes) enthält. Die Versender der Mails hoffen, dass die Empfänger diese Datei für ein PDF-Dokument mit der Rechnung halten und sie öffnen.
Es handelt sich dabei um ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet nachladen soll. Dazu benötigt es jedoch offenbar eine Textdatei namens "winut.dat", die aus einer vorherigen Infektion des Rechners mit einem Vorgänger des Schädlings stammen müsste. Ohne diese Datei stürzt das Programm ab, wie der deutsche Antivirus-Hersteller Avira (http://www.avira.de) berichtet.
Das Programm installiert sich wie schon diverse Vorgänger als "ipf.exe" im System-Verzeichnis von Windows. Ein Registry-Eintrag dient zum automatischen Laden des Programms bei Start von Windows:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IPF.EXE" = "C:\Windows\System32\ipf.exe"
Es überschreibt, sofern vorhanden, die besagte Datei "winut.dat". Diese enthält die Download-Links für die nachzuladende Malware. Der Download weiterer Malware scheitert jedoch daran, dass die vorgesehenen URLs nicht oder nicht mehr erreichbar sind.