Sei nett zu Deinen Kindern - sie sind es, die irgendwann Dein Pflegeheim aussuchen werden.

 

  • Freitag
  • 24.Oktober 2008

Rechnung.zip enthält Trojaner!

Heute früh sind in meinem Mailpostfach dutzende Mails eingetroffen, die offenbar allesamt den Spamfilter von Gmail und auch dessen Virenprüfung unterlaufen haben, aber offensichtlich ein Schadprogramm enthalten - die Chance ist also hoch, dass auch bei euch diese Mails eintrudeln.
Der Mailtext lautet (mit leichten Abwandlungen) etwa so:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.851187436487 ist erfolgt
Es wurden 7321.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH

Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598

Der Text ist immer leicht verändert, insbesondere die Summe oder die Nummer der angeblichen Anzahlung sind unterschiedlich. Auch der Mailbetreff ist stets ein anderer:

  • Anzahlung
  • Ratenzahlung
  • Lastschrift
  • Abbuchung (erfolgt)

Gleich ist allerdings immer der Mailanhang: eine ZIP-Datei namens Rechnung.zip, die entpackt zwei Dateien enthält: rechnung.txt (wobei es sich um keine Textdatei, sondern eine Verknüpfung handelt!) und zertifikat.ssl, laut dem Mail lediglich das "Sicherheitszertifikat", in Wahrheit aber eine ausführbare Datei. Die Verknüfung rechnung.txt sorgt dafür, dass zertifikat.ssl mittels cmd.exe ausgeführt wird:

%windir%\system32\cmd.exe /c zertifikat.ssl

Wenn man wirklich so wahnsinnig ist, auf rechnung.txt doppelzuklicken, installiert sich ein Trojaner, der versucht, mit den Adressen univnext.cn und regect.mobi Kontakt aufzunehmen. Derzeit erkennen lediglich 9 von 36 Virenscannern die Datei als Schadcode!
(Da ich keine Lust hatte, meinen Rechner mit einem Trojaner zu verseuchen, stammt die Info des letzten Absatzes aus dem Security-Blog abuse.ch und auch auf tutsi.de sind detaillierte Infos darüber zu finden).

Was ist also zu tun? Ganz einfach - Mails mit derartigem Inhalt löschen, Dateianhänge nicht öffnen oder entpacken, Dateien nicht ausführen!

Und wenn man schon länger nicht den Virenscanner auf den letzten Stand gebracht hat, ist heute ein guter Zeitpunkt dafür - Kaspersky, Norton und Avira erkennen zertifikat.ssl seit den letzten Updates korrekt als böse.

RSS

Dieser Eintrag war nützlich für Sie? Das könnte öfter so sein! Abonnieren Sie den RSS-Feed und stöbern Sie auch im "offiziellen" Teil meiner Website!


Artikel kommentieren

2 Kommentare »

  • #1

    Gravatar Comment von Gerhard Zirkel am 24.Oktober 2008 um 12:21

    Oder man arbeitet mit einem MAC, dann kann der Trojaner ja mal versuchen sich zu installieren … :)

    Gerhard

  • #2

    Gravatar Comment von Ernst am 24.Oktober 2008 um 12:23

    MACies und Linuxer habens da natürlich fein – das ist aber eh wie meistens.


Kommentar hinzufügen

Bitte mindestens die mit (*) markierten Felder ausfüllen.
HTML-Tags werden nicht übernommen.
Internetadressen, die mit http: beginnen, werden automatisch in Links umgewandelt

ACHTUNG: Dieser Beitrag ist über 4 Jahre alt. Möglicherweise findest Du in neueren Einträgen in diesem Weblog aktuellere Informationen zu diesem Thema. Verwende dazu die Suchfunktion rechts oben in der Seitenleiste. Beachte auch die Information über ältere Beiträge!

 

© 2008 EGM Werbegrafik ● Ernst G. Michalek ● A-1220 Wien, Reclamgasse 13 ● Tel. +43 (0)699 / 120 15 308 ● E-Mail:www@egm.at ● Impressum