Weitere Rechnungs-Trojaner für eBay
Die E-Mails versuchen durch Social-Engineering den Empfänger zum Öffnen der vermeintlichen Rechnung im Anhang zu bewegen. Stattdessen startet sich ein Trojaner.
Seit dem heutigen Morgen gehen in der Redaktion heise Security vermehrt Hinweise auf E-Mails ein, die unter dem Vorwand einer dringlichen eBay-Rechnung oder Mahnung versuchen, den Empfänger zum Öffnen des Anhanges zu bewegen. Bei diesem handelt es sich um eine Datei mit typischer Doppelendung namens Rechnung.pdf.exe. In den Nachrichten mit unterschiedlichen Betreffzeilen in der Art "Wichtige Rechnung", "Ebay-Mahnung" oder "Ebay-Kontosperrung" wird der Empfänger aufgefordert, die angehängte Rechnung auszudrucken und den geforderten Betrag zu überweisen. Andernfalls drohe die Sperrung des Zugangs. Der Anhang wird bis zum jetzigen Zeitpunkt noch von keinem Virenscanner zuverlässig als Gefahr erkannt.
Regelmäßig wird versucht, E-Mail-Empfängern durch diese Masche einen Trojaner unterzuschieben. Der Redaktion liegen rund zwei Wochen und einen Monat alte E-Mails mit identischem Strickmuster vor. Damals handelte es sich bei dem gleichnamingen, etwa 11 KByte großen Anhang um eine Variante des Trojaners "Win32.Agent" bzw. "Win32/TrojanClicker". Die eigentliche Schadsoftware wird von diesem erst in einem zweiten Schritt aus dem Internet nachgeladen. Es ist davon auszugehen, dass es sich in der aktuellen Welle ebenfalls um eine Variante eines solchen Nachlade-Trojaners handelt. Ältere Wellen hatten neben eBay-Kunden auch Kunden des Reisedienstes Opodo, des Versandhauses Otto und der Telekom im Visier.
Interessant ist eine auffällige Entwicklung im Verbreitungsmuster von Schädlingen. In der Vergangenheit breiteten sich Schadprogramme meist selbsttätig und kontinuierlich auf weitere Systeme aus. Solch eine massenhafte exponentielle Verbreitung wird allerdings schnell bemerkt und bekämpft. Offenbar wird im Gegensatz dazu in jüngster Zeit Schadsoftware beispielsweise durch Bot-Netze kontrolliert und schubweise verteilt. Dabei verfügen die Schädlinge immer seltener über Funktionen zur autonomen Verbreitung.
Immer häufiger werden in E-Mails auch nicht mehr die eigentlichen Schadprogramme verschickt. Statt dessen sind es jetzt oftmals schlanke Programme, die zunächst typische Antiviren-Software und Personal-Firewalls beenden, bevor sie ungehindert die eigentliche, viel komplexere Schadsoftware aus dem Internet nachladen und installieren. Solche Download-Trojaner lassen sich leicht erstellen und modifizieren. Durch ihre Einfachheit und Flexibilität entgehen sie oft auch aktuellen Virenscannern und Heuristiken. (cr)
