Warten auf Warnungen – Nod32 schlägt auf bekannte Schadsoftware nicht an


Heute darf ich mich schon das zweite Mal auf Heise beziehen: vor wenigen Tagen las ich dort die Meldung, dass Spam-Mails verteilt werden, denen die Datei "Rechnung.rar" angehängt wurde.


Lieber auf sich selbst verlassen

In der Meldung auf der Heise-Website war von einer E-Mail in "gutem Deutsch" die Rede, was bei Spam eher selten vorkommt. Im Anhang befände sich die Archivdatei "Vertrag.rar", die eine ausführbare Datei mit dem Symbol einer Word-Datei enthalte. Und gerade eben, um 11:25 Uhr, bekam ich eine solche E-Mail mit dem Anhang "Rechnung.rar".

2008-06-01-1 

Leicht verwundert, dass mein Eset Nod32, welches ich im Januar mit einer Ein-Jahres-Testlizenz aus der Heise-Zeitschrift c’t aktiviert habe, so ruhig blieb, entpackte ich die Datei einfach mal, um sie anschließend direkt prüfen zu können:

2008-06-01-2

Infizierte Objekte: 0. Sehr toll, Nod32. Da konnte ich mich auf eine Nachricht, die ich sieben Tage vorher gelesen habe, besser verlassen als auf ein Antivirenprogramm, das sein letztes Update vor 15 Stunden hatte.

Sobald ich die Meldung wiedergefunden habe, geht noch eine Mail nach Hannover.
Update (14:10 Uhr): Meldung immer noch nicht gefunden, Mail aber verschickt. Nod32 schlägt auch nach einem manuellen Update nicht auf die Datei an.

Hier gibt es noch die Auswertung des Multi-AV-Onlinescanners Vitustotal
und hier einen Screenshot von der Auswertung um etwa 21:30. Vor wenigen Stunden wurde das Trojanische Pferd Win32.Buzus nur von wenigen Scannern erkannt.

Update 2: Da war ich sogar mal schneller als ein schweizer Sicherheitsforum: Meldung bei online-betrug.ch

Update: Und es geht doch!

Man muss es fairerweise anfügen: Nach dem Update um 16:25 meldete Nod32 dann den erhofften Alarm:


2008-06-01-3