Schädlings-Mails tarnen sich als Inkasso-Rechnung

Ein neuer Schädling macht per Mail Runde und versucht wieder einmal, seine Empfänger in Angst und Schrecken zu versetzen, damit diese unbedacht auf den Anhang klicken. Die Mails geben vor, von einem Inkasso-Büro zu stammen, das mehrere Tausend Euro vom Konto abgebucht hat.

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.885434211759 ist erfolgt Es wurden 5327.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

xxxxxx GmbH & Co. KG
xxxxx Str. 21

Glücklicherweise ist es mit dem Klick auf den Anhang allein nicht getan, um den eigenen Rechner zu infizieren. Zuvor muss das Opfer das mit einem Zipper gepackte Archiv auspacken und auf die Datei abrechnung.lnk klicken. Die hat es dann aber in sich: Sie ruft die Command-Shell (cmd.exe) mit der ebenfalls entpackten Datei scann.a als Argument auf, in welcher der eigentliche Schädling steckt.

Damit nutzen die Malware-Autoren einen Trick, vor dem heise Security bereits vor vier Jahren in einer Analyse der Sicherheitsfunktionen von Windows XP SP2 gewarnt hatte. Über die Shell lassen sich Dateien mit beliebigen Dateierweiterungen ausführen. Dieser Umweg über cmd.exe führt auch dazu, dass die ZoneID komplett ignoriert wird. Anhand der ZoneID erkennt Windows eine aus dem Internet heruntergeladene Datei auch später noch und kann vor dem Ausführen eine Warnung anzeigen.

Da die eigentliche Schaddatei die unverdächtige Endung .a trägt, dürfte so mancher Scanner die Datei ignorieren und somit den Schädling übersehen. Wenn er denn hinschaut, könnte ihn allerdings der ungewöhnliche Packer argwöhnisch machen. Aktuell (Stand 15:30) erkennt keiner der bekannten Antiviren-Hersteller den Schädling namentlich. Nach ersten Analysen von heise Security nimmt der Schädling Kontakt mit einem Server in China auf, um weitere Dateien nachzuladen.

Wie immer gilt: Nicht in Panik versetzen lassen und nicht unbedacht Archive öffnen und darin enthaltene Dateien anklicken, denn genau auf diese Reaktion setzen die Virenautoren. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antivirenseiten von heise Security. (dab/c't)