Foto: Ronald Wiltscheck
Derzeit häufen sich E-Mails mit gefälschten Inhalten. So warnen etwa G Data und Avira vor gefälschten Rechnungen, die sich zur Zeit massenhaft per E-Mail verbreiten.
Mit wechselnden Betreffzeilen wie "Abbuchung", "Auflistung der Kosten", "Amtsgericht Köln" oder "Inkasso" und dem Hinweis, dass ein drei- bis vierstelliger Geldbetrag vom Konto des Empfängers abgebucht worden sei, versuchen die Angreifer ihre Opfer zum Öffnen des Mail-Anhangs zu bewegen.
Diese E-Mails selbst enthalten folgenden Text, der immer leicht variiert, um der automatischen Spam-Erkennung zu überlisten:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.771090603943 ist erfolgt
Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
TESCHINKASSO Forderungsmanagement GmbH
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598
Ein weiteres Beispiel:
Sehr geehrte Damen und Herren
Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung " angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin
Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B
Diesen E-Mails ist die Datei Rechnung.zip angehängt. In dieser Datei finden sich wiederum die Dateien zertifikat.ssl und Rechnung.txt.lnk. Die Verknüpfung Rechnung.txt.lnk startet beim Doppelklick die ausführbare Datei zertifikat.ssl - für weniger erfahrene Anwender sieht die Datei jedoch aus wie eine Verknüpfung auf eine Textdatei, wodurch sie harmlos erscheint.
Beim Ausführen des Anhangs infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System. Er legt eine Kopie von sich in den Unterordner Microsoft common\svchost.exe des Standard-Programmverzeichnisses ab und löscht die anfangs herunter geladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. Diese Schädlingsdatei erkennt Avira als TR/Drop.iBill.BD. (rw)