Weitere Details zum Trojaner in gefälschten BKA-Mails [Update]

Beim Test eines gestern Abend erhaltenen Exemplars des in gefälschten BKA-Mails enthaltenen Trojaners zeigte sich heute morgen, dass immer noch nicht alle Scanner den Schädling als solchen erkennen. Immerhin sind es nun elf Programme, die Alarm schlagen, gestern waren es nur drei.

Das Bundeskriminalamt (BKA) warnt unterdessen in einer eigenen Mitteilung vor dem Trojaner. Laut BKA handelt es sich um eine nicht näher zu klassifizierende Schadsoftware, die sich unter Umständen beim Öffnen automatisch per E-Mail an die im Adressbuch des Rechners gelisteten Adressen weiterversendet oder weitere Schadfunktionen auf dem Rechner ausführt. Das BKA empfiehlt, die E-Mails zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Die Telefonleitungen der Behörde waren am heutigen Donnerstag überlastet. Die unbekannten Autoren der Mails hatten nicht nur das BKA als Absender genannt, sondern für Rückfragen auch Telefonnummern der Polizeibehörde. Bereits im November 2005 war eine ähnliche Mail in Umlauf gesetzt worden, die damals in Deutschland, Österreich und der Schweiz kursierten. Wie viele Anwender diesmal ihren PC infiziert haben, ist unbekannt.

heise Security konnte bei Analysen in der CWSSandbox von Sunbelt allerdings keine eigene Verbreitungsmechanismen des Trojaners feststellen. Nach bisherigen Erkenntnissen wurde er nur über Botnetze und Spam-Listen verteilt. Bei einem Scan der vom Trojaner nachgeladenen Datei (win.exe) erkannten ebenfalls nur wenige Scanner etwas Verdächtiges.

Bemerkenswert an den Trojanern in den Mails der vergangenen Wochen ist, dass sie sich nicht mehr in Archiven verstecken. Mit den Archiven versuchen die Virenautoren nämlich, mögliche Warnhinweise der Mail-Programme zu umgehen, da diese nur bei exe-Dateien im Anhang Alarm schlagen. Der weit verbreitetet Mail-Client-Outlook Express blendet etwa mit der eingebauten Virenschutzfunktion nur ausführbare Dateien aus (Extras/Optionen/Sicherheit/Virenschutz), ZIP-Archive lassen sich weiterhin direkt öffnen. Immerhin sind aber auch dann noch zwei Doppelklicks notwendig, um eine im Archiv enthaltene Datei zu starten. Steckt im Anhang gleich eine exe-Datei und ist die Virenschutzfunktion von Outlook Express deaktiviert, so ist zwar nur ein Doppelklick erforderlich, allerdings warnt Windows dann mit mindestens zwei Dialogen, dass die Datei Schäden auf dem Rechner anrichten könne.

Anwender müssen also einige Hürden nehmen und diverse Warnungen ignorieren, um sich mit dem Trojaner zu infizieren. Da aber trotzdem bereits bei den gefälschten 1&1- und GEZ-Rechnungen zahlreiche Anwender ihren PC infiziert haben, wirft dies die Frage auf, wie Anwender künftig mit der User Account Protection (UAP) unter Vista umgehen werden. Auch die UAP weist auf mögliche Gefahren einer ausführbaren Datei hin und fragt beim Anwender nach, ob er sie wirklich starten wolle.

Update
Mittlerweile erkennen fast alle Virenscanner den Schädling. Allerdings stehen für AVG, Avast, eSafe, Ewido, McAfee, Microsoft, QuickHeal, Rising, UNA und VBA32 immer noch keine offiziellen Signaturen bereit.

Siehe dazu auch:

• Gefälschte BKA-Mails enthalten Trojaner, Meldung auf heise Security

(dab)