Der nette Trojaner

Vielleicht geht es nur mir so. Aber bei zwei der von mir betreuten Domains, mit jeweils eigenem Mail-Server, ist die letzten 3 Tage richtig was los. Jedenfalls was das Schädlingsaufkommen im Vergleich zu sonst angeht. Vergehen sonst Wochen, oft Monate, bis ich zur Abwechslung darüber informiert werde, dass doch mal wieder ein Trojaner/Virus/Wurm/whatever angekommen ist und aussortiert wurde, werde ich jetzt im 20-Minuten-Takt darüber benachrichtigt.
Das Thema ist heute leider keine Besonderheit mehr.

Was am Trojaner „Trojan.Downloader-77566“, wie er von ClamAV bezeichnet wird, überrascht, sind die auffälligen E-Mails, über die er verbreitet werden soll.
Täuschen die Schädlings-Autoren sonst doch etwas Intelligenz vor, scheint dieses Feature bei „Trojan.Downloader.JMJA“, wie er von G Data bezeichnet wird, komplett zu fehlen. So kommt es, dass man zum Erkennen von „TR/Dldr.Murlo.cba“, wie er von Aviras AntiVir benannt wurde, nicht mal wirklich einen Virenscanner benötigt. Das Begründe ich damit, dass jede E-Mail die beiden folgenden, identischen Header beinhaltet:

X-Mailer: Microsoft Outlook Express 6.00.2900.2180
Subject: Thank you for setting the order No.475456

Da verwundert es mich dann schon fast etwas, dass die Message-ID tatsächlich variiert.

Der Großteil der Antivirusprogramme erkennt den Trojaner bereits seit gestern oder heute. Wie Jottis Malwarescanner allerdings im Ergebnis zeigt, sind die Virenscanner von CPsecure, Norman Virus Control und Quick Heal derzeit noch nicht so ganz auf dem laufenden.
Aber gibt es denn einen unter hundert Anwendern, der eines der drei Produkte ernsthaft einsetzt?
Wie viele Anwender haben den zwischenzeitlich begriffen, dass man E-Mail-Anhänge, von unbekannten Personen, nicht einfach öffnen soll? Wenn ich sehe, wie sich dieser Trojaner derzeit verbreitet, werden es wohl immer noch nicht all zu viele Begriffen haben.

[Nachtrag]

Habe ich doch noch den unflexiblen Body der E-Mail vergessen. Hier ist er:

Dear Customer!

Thank you for ordering at our online store.
Your order: Sony VAIO A1133651A, was sent at your address.
The tracking number of your postal parcel is indicated in the document attached to this letter.
Please, print out the postal label for receiving the parcel.

Internet Store.

Der Dateinamen des angehängten ZIP-Archivs variiert leicht. Heißt der Anhang meistens nz.zip, kommen hin und wieder Namen wie 475456.zip (wie im Subjekt der E-Mail), 4976372.zip, 1252915553.zip, oder sogar install.zip vor.