Avira & G Data

Security-Hersteller warnen vor gefälschten E-Mails

24.10.2008

Ein weiteres Beispiel:

Sehr geehrte Damen und Herren
Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung " angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin

Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B

Diesen E-Mails ist die Datei Rechnung.zip angehängt. In dieser Datei finden sich wiederum die Dateien zertifikat.ssl und Rechnung.txt.lnk. Die Verknüpfung Rechnung.txt.lnk startet beim Doppelklick die ausführbare Datei zertifikat.ssl - für weniger erfahrene Anwender sieht die Datei jedoch aus wie eine Verknüpfung auf eine Textdatei, wodurch sie harmlos erscheint.

Beim Ausführen des Anhangs infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System. Er legt eine Kopie von sich in den Unterordner Microsoft common\svchost.exe des Standard-Programmverzeichnisses ab und löscht die anfangs herunter geladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. Diese Schädlingsdatei erkennt Avira als TR/Drop.iBill.BD. (rw)

Zur Startseite