Unbekannte Mailserver-Malware spammt ungebremst
Ein Großteil aller unerwünschten E-Mails wirbt derzeit für Potenzmittel-Rabatte. Als Ursache kommt eine ausgeklügelte Mailserver-Malware infrage, die Virenscanner noch nicht erkennen.
- Bert Ungerer
Seit einigen Tagen prasselt auf viele Spam-Empfänger vor allem eine Botschaft ein: Dass sie Viagra deutlich – meist um 80 Prozent – reduziert erwerben können. Zeitweise tragen mehr als die Hälfte aller E-Mails, die überhaupt beim Anti-Spam-Projekt der iX-Redaktion eintreffen, Absenderangaben wie "VIAGRA (c) Best Supplier" und Betreffzeilen wie "Visitor ... personal 80% OFF".
Das Besondere an den E-Mails: Sie scheinen nicht von simplen Trojanern mit rudimentären Mail-Funktionen zu stammen, sondern von einem vollständigen Mailserver (Mail Transfer Agent, MTA), der sich auf noch unbekannte Weise in zahlreichen Windows-Systemen eingenistet hat. iX-Autor und IT-Forensiker Lukas Grunwald zeigt sich besorgt, dass die Malware wie ein "richtiger" Mailserver etwa die verschlüsselte Mail-Übertragung mittels TLS beherrscht und dass sie Absender-Adressen in den Spam einfügt, die zu eventuell hinterlegten SPF-Records passen – Absender-Domain und der "Mailserver" scheinen also zusammenzugehören.
Laut Grunwald können sich Windows-PCs Schadsoftware nicht nur über das fahrlässige Ausführen unbekannter Programme oder "Drive-by-Downloads" einfangen. Infrage kämen auch Update-Mechanismen installierter Software, die durchaus auch auf normalen Mailservern aktiv seien. Dies ist eine mögliche Erklärung dafür, dass der unerwünschte MTA auf vielen Windows-Systemen sein Unwesen treibt, die eigentlich als ganz normale Mailserver im Einsatz sind. Tatsächlich zeigte eine Stichprobe der iX, dass viele spammende Rechner auch als normale Mailserver dienen und sich bei Zustellversuchen etwa als Microsoft ESMTP MAIL Service, GroupWise Internet Agent, MailMarshal, MDaemon oder SonicWALL vorstellen.
Eine besonders unangenehme Begleiterscheinung des MTA-"Nebenbuhlers": Viele Windows-Mailserver landen derzeit auf Anti-Spam-Blacklists, was wiederum den Mail-Versand normaler Anwender beeinträchtigt. Grunwald zeigt sich jedoch optimistisch, dass dieser Zustand nicht mehr lange anhalten wird: "Vermutlich hat jemand den Umstand ausgenutzt, dass um den Jahreswechsel herum niemand wirksame Gegenmittel entwickelt. Aber die Ferienzeit ist ja nun vorbei." (un)
