Gefälschte BKA-Mails enthalten Trojaner [Update]

Die Mails enthalten zwar nicht den "Bundestrojaner", die angebliche Strafanzeige im Anhang hat es aber dennoch in sich.

In Pocket speichern vorlesen Druckansicht 421 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Was derzeit in die elektronischen Postfächer trudelt, sieht zwar vielleicht auf den ersten Blick aus wie der Versuch, Anwendern den angekündigten "Bundestrojaner" unterzujubeln. In Wahrheit handelt es sich jedoch nur um eine gefälschte Mail, die vorgibt, vom Bundeskriminalamt (BKA) zu stammen, und mitteilt, dass ein Ermittlungsverfahren gegen den Empfänger wegen Raubkopiererei eröffnet wurde.

Der Anhang der Mail soll dann eine Strafanzeige zum Ausdrucken enthalten, die man gefälligst ausfüllen und an das BKA zusammen mit einer Stellungnahme faxen solle. Dabei handelt es sich jedoch um eine ausführbare Datei, die in ihrer Funktion einem Bundestrojaner wohl in nichts nachstehen dürfte: Ein Windows-Programm, das sich im System einnistet und Dateien aus dem Internet nachlädt.

Sehr geehrte Damen und Herren,
 
das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.
 
Hochachtungsvoll

Bei einem kurzen Test der heise-Security-Redaktion erkannten gerade einmal drei Virenscanner einen Schädling: Antivir, NOD32 und Norman. Was der Trojaner genau nachlädt, muss noch weiter getestet werden. Wahrscheinlich späht er aber Passwörter aus, wie auch schon die Trojaner in den gefälschten 1&1- und GEZ-Rechnungen.

Mit einem ähnlichen Text versuchte schon der BKA-Wurm Sober.Y/Z im November 2005 Empfänger zu erschrecken und zum Öffnen des Anhangs zu bewegen. In einem Fall führte eine solche Mail sogar zu einer Selbstanzeige: Ein 20-jähriger Paderborner suchte die Flucht nach vorn und gab zu, pornografische Bilder von Kindern zu besitzen.

[Update]:
Am Freitag morgen rollte eine weitere Welle mit neuen Versionen des Trojaners an. Die ausführbare Datei ist dabei zum Teil in ein ZIP-Archiv verpackt, um Sperren für bestimmte Dateitypen zu umgehen. Erneut wird die Schadsoftware nur von wenigen Antiviren-Programmen erkannt. Untersuchungen des ersten Trojaners haben unterdessen ergeben, dass das nachgeladene Programm unter anderem versucht, Online-Banking-Daten auszuspionieren.

Siehe dazu auch:

(dab)