Nächste Runde der Trojaner-Mails
Zurzeit häufen sich die Angriffe auf arglose Nutzer mit Trojaner-verseuchten E-Mails. Am gestrigen Abend fluteten vermeintliche Amazon-Rechnungen die Postfächer, am heutigen Morgen vorgebliche E-Mail-Änderungen bei eBay.
Gleich zwei Trojaner-Wellen füllen derzeit die elektronischen Postfächer von Internetnutzern. Während seit dem gestrigen Mittwochabend vermeintliche Amazon-Rechnungen die Runde machen, erhalten viele Nutzer seit dem heutigen Donnerstagmorgen auch vorgebliche E-Mail-Änderungsbenachrichtigungen von eBay.
Die gefälschten Amazon-E-Mails waren nicht korrekt kodiert, sodass der Anhang in Mailprogrammen wie Thunderbird nicht einmal angezeigt wurde. Die eBay-Mails enthalten jedoch standardkonform eine ZIP-Datei im Anhang. Darin befindet sich Ebay.de_bitte_lesen.pdf.exe mit einer angeblichen Anleitung, wie man die E-Mail-Änderung verhindern könne, wenn man sie nicht selbst angestoßen habe.
Wie inzwischen üblich, haben die Virenbastler die Dateianhänge so modifiziert, dass sie kaum ein Virenscanner erkennt. Während der vergangenen Stunde haben aber Antivir, ClamAV, Ikarus und Kaspersky passende Signaturen für den eBay-Trojaner nachgelegt. Die Namen der Amazon-Schädlinge – bei mehreren Antivirenherstellern Trojan-Downloader.Win32.Nurech.as – lassen darauf schließen, dass es sich um Variationen desselben Trojaners handelt.
Die Social-Engineering-Variante, die beim Anwender Druck aufbauen und ihn so zum Ausführen des Dateianhangs verleiten soll, überrascht kaum. Daher hilft es schon, die üblichen Sicherheitshinweise beim Umgang mit E-Mails zu beachten. Welchen konkreten Schaden die ausführbaren Dateien anrichten und welche Dateien sie nachladen, ist bislang noch nicht klar. Eine Analyse der Schädlinge mit einer auf VMware basierenden Sandbox schlug fehl; vermutlich haben die Schädlinge Routinen zur Erkennung einer virtuellen Maschine und beenden sich darin vorzeitig. (dmk)
