Virulente Kabel-BW-Rechnung geht Virenscannern durch die Lappen
Cyber-Ganoven haben es derzeit verstärkt auf Kunden von Kabel BW abgesehen. Der in der gefälschten Rechnungsmail enthaltene Virus kann jedoch überall Schaden anrichten.
- Ronald Eikenberg
Cyber-Betrüger verschicken derzeit im großen Stil gefälschte Kabel-BW-Rechnungen mit dem Betreff "Ihre Kabel BW Rechnung Juni 2013", die optisch kaum auffällig sind und Huckepack einen Windows-Schädling mitbringen. Bei einer ersten Analyse am Montagnachmittag wurde die Datei nur von drei der insgesamt 47 bei VirusTotal vertretenen Virenscanner als verdächtig eingestuft.
Inzwischen ist die Erkennungsquote zwar etwas besser, viele die Virenschutzprogramme zahlreicher namhafter AV-Hersteller halten den Virus jedoch nach wie vor für harmlos. Wenn man die Datei manuell mit Nortons Reputations-Check Insight untersucht, erhält man gar die Meldungen "Norton hat diese Datei als positiv bewertet" und "Vertrauenswürdigkeit geprüft".
Der Schädling ist nach dem Muster Ihre-Kabel-BW-Rechnung_Juni_2013-76894598076332.pdf.exe benannt. Da Windows die Dateinamen-Erweiterungen bekannter Dateitypen standardmäßig ausblendet, zeigt der Windows Explorer das .exe bei vielen Nutzern nicht an. Der Virus trägt eine digitale Signatur, die allerdings auf keinen vertrauenswürdigen Herausgeber zurückzuführen ist. Beim Start überprüft die Malware, ob sie auf einem virtuellen Rechner läuft – ist dies der Fall, verhält sie sich unauffällig, um Virenforschern ihre Arbeit zu erschweren.
Die uns vorliegenden Exemplare wurden vorgeblich von kundenservice-noreply@kabelbw.de verschickt. Das offensichtlichste Merkmal dafür, dass es sich um eine Fälschung handelt, ist die fehlende persönliche Anrede. Alleine darauf kann man sich allerdings nicht verlassen, da Cyber-Kriminelle häufig auch mit gestohlenen Daten arbeiten, um die Glaubwürdigkeit zu erhöhen.
Siehe hierzu auch:
(rei)
