Neuer Virus schützt sich mit einem Passwort

Vorsicht bei bereits einmal empfangenen Mails, die mit einem mysteriösen Passwort-Hinweis erneut im Postfach landen! Mit dieser neuen Masche geht zur Zeit ein Virus um, der sich in einer Zip-Datei versteckt und sich durch ein Passwort vor Virenscannern schützt.

Bei den Mails handelt es sich um alte, bereits einmal verschickte Nachrichten, die ohne Zutun des Postfachbesitzers erneut versendet werden, diesmal mit dem Zusatz "übrigens das Passwort ist: xxxx". Dann folgt die ursprüngliche Nachricht, sodass der Empfänger den Eindruck gewinnt, eine echte, ungefährliche Mail ein zweites Mal erhalten zu haben. Das Ganze wirkt auch deshalb plausibel, weil Absender ja mitunter tatsächlich im ersten Anlauf vergessen, einen Anhang beizufügen und Mails daher samt Anhang ein zweites Mal versenden.

Per Passwort geschützt

Der Virus selbst steckt in einem ZIP-File im Anhang der Mail. Dieser Anhang ist tatsächlich mit dem angegebenen Passwort – einem vierstelligen Zahlencode – verschlüsselt. Auf diese Weise wird der Viren-Scanner auf Mail-Gateways und dem Zielrechner ausgetrickst, da sie in dem Anhang aufgrund der Verschlüsselung zunächst nichts Böses entdecken können. Erst wenn der Empfänger das ZIP-File mithilfe des in der Mail genannten Passworts öffnet und die Datei extrahiert, kommt das für Windows konzipierte Schadprogramm zum Vorschein und der lokale Virenwächter kann (hoffentlich) reagieren.

Was der Virus außer dem Verschicken der Mails anrichtet ist derzeit noch nicht klar. Die bereits vorhandenen Viren-Signaturen deuten auf einen sogenannten Downloader hin, was hieße, dass auf einen infizierten Windows-Rechner Dateien aus dem Netz nachgeladen würden. Das können Erpressungs- oder Online-Banking-Trojaner sein – aber am nächsten Tag auch schon wieder etwas ganz anderes.

Update 14:50: Rolle der Viren-Scanner klarer formuliert und Windows als Zielplattform eingefügt. (dwi)