Trojaner-Mails drohen mit E-Mail-Sperrung [Update]

Der Abrechnungstrojaner erscheint in neuem Gewand und verunsichert seine Empfänger mit einer angedrohten Kontosperrung. Bislang erkennen ihn nur wenige Virenscanner.

In Pocket speichern vorlesen Druckansicht 159 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Derzeit rollt eine neue Trojaner-Welle durchs Netz. Diesmal drohen die E-Mails, über die der Trojaner auf den Computer flattert, mit einer angeblichen Sperrung des E-Mail-Kontos des Empfängers binnen weniger Stunden:

Betreff: Die E-Mail Adresse xyz@heise.de wird gesperrt

Sehr geehrte Damen und Herren,

Ihre Email "xyz@heise.de" wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 98 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Betreff und Text tragen die Adresse des Empfängers; die Zahl der vorgeblichen Beschwerden variiert. Im Zip-Archiv im Anhang lauert die ausführbare Datei Sperrung.exe mit dem Schadprogramm. Die E-Mails sollten ungelesen gelöscht werden, denn zur Stunde sind die Virenscanner noch weitgehend machtlos. Nur wenige AV-Programme erkennen derzeit den Schädling: Sophos nennt ihn Mal/EncPk-GH, bei Microsoft heißt er je nach Mutation Win32/Emold.C oder Win32/Obfuscator.CT, bei FProt W32/Trojan3.MX.

Eine Analyse von heise Security hat ergeben, dass sich der Schädling als Default-Debugger für den Prozess Explorer.exe installiert, sodass er fortan auch nach einem Neustart aktiv wird. Diesen außergewöhnlichen Autostart-Mechanismus nutzte bereits der Abrechnungstrojaner, der vor recht genau einer Woche als vermeintliche Rechnung, Inkassoeinzug oder Abmahnung in die Postfächer der Anwender flatterte.

Update:
Am heutigen Dienstag vormittag rollt eine zweite Welle mit einem modifizierten Programm und ähnlichem Begleittext an. Dieses wird auch von AV-Programmen, die bereits Signaturen für die gestrige Version erstellt hatten, oft nicht mehr erkannt.

Siehe dazu auch:

(cr)