Angebliche Ikea-Rechnungen mit Trojaner

Wie viele Leser berichten, spült ein Bot-Netz derzeit angebliche Ikea-Rechnungen in die Postfächer. Das Schema ist bekannt: Mails mit einem Betreff wie "Ihre IKEA Bestellung" oder ähnlich, fordern dazu auf, die Rechnung im Anhang zu begutachten:

Sehr geehrter IKEA Kunde,

die Gesamtsumme für Ihre Rechnung beträgt: 383,77 Euro. Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

Die ZIP-Datei enthält jedoch eine ausführbare EXE-Datei mit der doppelten Endung pdf.exe, die sich zusätzlich mit einem PDF-Icon tarnt. Wer sie öffnet, lädt damit weiteren Unrat auf seinen Rechner. Konkrete Analysen stehen noch aus, aber vermutlich handelt es sich wie gewohnt um Spionageprogramme und Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt.

Die Erkennungsrate von AV-Software ist -- wie bei diesen Rechnungs-Trojanern üblich -- noch sehr schlecht. Lediglich ein paar Exoten wie Ikarus (Trojan-Downloader.Win32.Small) und ClamWin (Trojan.Fakebill) erkennen den Schädling bereits. Die trojanischen Pferde werden so lange variiert, bis zumindest die bekannten Viren-Scanner sie nicht mehr erkennen. Der Versand erfolgt dann über ein Bot-Netz innerhalb weniger Stunden an hunderttausende oder Millionen von Mail-Adressen. Kein Hersteller kann so schnell reagieren. Deshalb wird es immer wichtiger, Schad-Software nicht mit Signaturen sondern an ihrem Verhalten zu erkennen, wie es auch immer mehr Hersteller versuchen. (ju)