Virenmail tarnt sich als Bahn-Buchungsbestätigung
Mit einer neuen Masche versuchen Cyber-Ganoven ihre Malware unter die Leute zu bringen. Der eingesetzte Trojaner wird derzeit nur von einer Hand voll Virenscanner erkannt.
- Ronald Eikenberg
Aufgepasst: Cyber-Kriminelle versenden derzeit Virenmails, die als Buchungsbestätigung der Deutschen Bahn getarnt sind. Die uns vorliegenden Exemplare stammen vermeintlich von buchungsbestaetigung@bahn.de und sind sauber formuliert; offensichtlich diente eine echte Bestätigungsmail als Vorlage.
Dennoch hat sich der Absender zwei Fehler geleistet: Zum einen fehlt eine persönliche Anrede, zum anderen ist der Betreff grammatikalisch falsch – er lautet: "Ihren Fahrkartenkauf (Auftrag XDA9WQ)". Man kann jedoch freilich nicht ausschließen, dass die Virenversender diese Details auch noch glatt bügeln. Die Auftragsnummer variiert.
Im Anhang der Mail befindet sich ein Zip-Archiv, dessen Dateinamen nach dem Muster "Ihren Fahrkartenkauf_XDA9WQ.zip" ausgebaut ist. Es enthält einen Schädling, dessen Dateiname auf ".pdf.exe" endet. Wer unter Windows das Ausblenden bekannter Dateinamen-Erweiterungen eingeschaltet hat, sieht davon nur .pdf.
Laut VirusTotal fällt der Schädling derzeit gerade einmal 8 von 46 Virenschutzprogrammen auf. Vielen namhaften Virenjägern geht er noch durch die Lappen. Zu beachten ist dabei allerdings, dass VirusTotal lediglich die Kommandozeilenversionen der Antiviren-Software eingesetzt, die nicht alle Schutzfunktionen der Vollversionen enthalten. Um welchen Virus es sich handelt, ist derzeit nicht bekannt. In aller Regel werden über solche Kampagnen vor allem BKA-Trojaner und Bots verteilt. (rei)