Avira & G Data

Security-Hersteller warnen vor gefälschten E-Mails

24.10.2008
Derzeit häufen sich E-Mails mit gefälschten Inhalten. So warnen etwa G Data und Avira vor gefälschten Rechnungen, die sich zur Zeit massenhaft per E-Mail verbreiten.
Die gefälschte Vattenfall-Rechnung
Foto: Ronald Wiltscheck

Derzeit häufen sich E-Mails mit gefälschten Inhalten. So warnen etwa G Data und Avira vor gefälschten Rechnungen, die sich zur Zeit massenhaft per E-Mail verbreiten.

Mit wechselnden Betreffzeilen wie "Abbuchung", "Auflistung der Kosten", "Amtsgericht Köln" oder "Inkasso" und dem Hinweis, dass ein drei- bis vierstelliger Geldbetrag vom Konto des Empfängers abgebucht worden sei, versuchen die Angreifer ihre Opfer zum Öffnen des Mail-Anhangs zu bewegen.

Diese E-Mails selbst enthalten folgenden Text, der immer leicht variiert, um der automatischen Spam-Erkennung zu überlisten:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.771090603943 ist erfolgt
Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806

Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598

Ein weiteres Beispiel:

Sehr geehrte Damen und Herren
Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung " angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin

Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B

Diesen E-Mails ist die Datei Rechnung.zip angehängt. In dieser Datei finden sich wiederum die Dateien zertifikat.ssl und Rechnung.txt.lnk. Die Verknüpfung Rechnung.txt.lnk startet beim Doppelklick die ausführbare Datei zertifikat.ssl - für weniger erfahrene Anwender sieht die Datei jedoch aus wie eine Verknüpfung auf eine Textdatei, wodurch sie harmlos erscheint.

Beim Ausführen des Anhangs infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System. Er legt eine Kopie von sich in den Unterordner Microsoft common\svchost.exe des Standard-Programmverzeichnisses ab und löscht die anfangs herunter geladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. Diese Schädlingsdatei erkennt Avira als TR/Drop.iBill.BD. (rw)