Vorsicht: Mails mit rechnung.zip enthalten Trojaner
Seit Donnerstagabend schwappt eine neue Welle von Trojaner-Mails über Deutschland hinweg. Die Nachrichten mit Betreffs wie „Abbuchung“, „1 Rate“ oder „Forderungsmanagement GmbH“ enthalten gefährliche Schadprogramme.
„Hallo Ihr Abbuchungsauftrag Nr.52258263 wurde erfullt. Ein Betrag von 671.70 EURO wurde abgebucht und wird in Ihrem Bankauszug als „Vattenfallabbuchung“ angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung“, heißt es so in einer Mail mit dem Betreff „Abbuchung“. Als Absender wird dabei der Energieversorger Vattenfall angegeben.
Ähnlich in einer anderen Mail: „Die Anzahlung Nr.651217033715 ist erfolgt Es wurden 6077.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung“, steht unter dem Betreff 1 Rate, die angeblich von einer Firma Teschinkasso Forderungsmanagement GmbH verschickt wurde. In Wirklichkeit hat die Firma damit natürlich nichts zu tun.
Alle Mails haben das gleiche Ziel: Der Empfänger soll dazu gebracht werden, auf den Anhang namens rechnung.zip (oder mahnung.zip) zu klicken und die vermeintliche Rechnung anzusehen. Das sollte man allerdings tunlichst unterlassen. Denn in der Zip-Datei verborgen liegt ein Trojaner, der beim Klick den Rechner verseucht. Kaspersky identifiziert den Schädling als Worm.Win32.Downloader.wh, Sophos als Troj/Agent-IAJ und F-Prot als W32/Trojan3.EJ, F-Secure als Trojan.Win32.Inject.jig.
Was der Schädling konkret anrichtet, war zunächst unbekannt. Nicht auszuschließen ist, dass das Programm Passworte vom Rechner stiehlt und an einen Dritten weiterleitet. Der Drahtzieher der Masche könnte dann zum Beispiel das Konto der Opfer plündern oder unter dessen Namen bei Ebay agieren.
Eine Stichprobe bei Virustotal ergab am Freitagmorgen, dass derzeit noch längst nicht jedes Virenschutzprogramm den neuen Schädling erkennt. Bis die Anbieter ihre Programme aktualisiert haben, sollte man also äußerst vorsichtig sein. Die Grundregel, Mail-Anhänge von unbekannten Absendern niemals zu öffnen, sollte ohnehin immer gelten.
Update 24. Oktober 2008, 23 Uhr
Im Laufe des Tages haben sich Texte und Betreffzeilen der gefährlichen Trojaner-Mails geändert. Verteilt werden die Schädlinge jetzt auch über Mails mit Betreffzeilen wie „Wichtiger Hinweis NR54949 zur Datenuebermittlung an die SCHUFA“ (in denen übrigens Namen wie Proinkasso und usenext für die Seriosität der Mail herhalten sollen), „Lastschrift“ oder auch „Stayfriends Anmeldung ID 58688“. Im letzteren Fall wird der Name des seriösen Schulfreunde-Portals Stayfriends missbraucht, um Opfer zum Öffnen des Trojaner-Anhangs zu bewegen.