Aktuelles
aktuelle Bedrohungen
Neues von gestern: 2007-01
31.01.2007: Gefälschte BKA-Mails enthalten Trojaner [Update]
Was derzeit in die elektronischen Postfächer trudelt, sieht zwar vielleicht auf den ersten Blick aus wie der Versuch, Anwendern den angekündigten "Bundestrojaner" unterzujubeln. In Wahrheit handelt es sich jedoch nur um eine gefälschte Mail, die vorgibt, vom Bundeskriminalamt (BKA) zu stammen, und mitteilt, dass ein Ermittlungsverfahren gegen den Empfänger wegen Raubkopiererei eröffnet wurde.
Der Anhang der Mail soll dann eine Strafanzeige zum Ausdrucken enthalten, die man gefälligst ausfüllen und an das BKA zusammen mit einer Stellungnahme faxen solle. Dabei handelt es sich jedoch um eine ausführbare Datei, die in ihrer Funktion einem Bundestrojaner wohl in nichts nachstehen dürfte: Ein Windows-Programm, das sich im System einnistet und Dateien aus dem Internet nachlädt.
Sehr geehrte Damen und Herren,
das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Hochachtungsvoll
Bei einem kurzen Test der heise-Security-Redaktion erkannten gerade einmal drei Virenscanner einen Schädling: Antivir, NOD32 und Norman. Was der Trojaner genau nachlädt, muss noch weiter getestet werden. Wahrscheinlich späht er aber Passwörter aus, wie auch schon die Trojaner in den gefälschten 1ß1- und GEZ-Rechnungen.
Mit einem ähnlichen Text versuchte schon der BKA-Wurm Sober.Y/Z im November 2005 Empfänger zu erschrecken und zum Öffnen des Anhangs zu bewegen. In einem Fall führte eine solche Mail sogar zu einer Selbstanzeige: Ein 20-jähriger Paderborner suchte die Flucht nach vorn und gab zu, pornografische Bilder von Kindern zu besitzen.
[Update]:
Am Freitag morgen rollte eine weitere Welle mit neuen Versionen des Trojaners an. Die ausführbare Datei ist dabei zum Teil in ein ZIP-Archiv verpackt, um Sperren für bestimmte Dateitypen zu umgehen. Erneut wird die Schadsoftware nur von wenigen Antiviren-Programmen erkannt. Untersuchungen des ersten Trojaners haben unterdessen ergeben, dass das nachgeladene Programm unter anderem versucht, Online-Banking-Daten auszuspionieren.
Quelle:
14.01.2007: Trojaner in gefälschten GEZ-Rechnungen
Unbekannte versenden massenhaft E-Mails mit gefälschten GEZ-Rechnungen, in deren Anhang sich ein Trojaner verbirgt. Erst letzte Woche überschwemmten ähnlich betrügerische Mails das Netz, die als Rechnungen des Web-Hosters 1&1 getarnt waren. Die neue Schädlingswelle zielt auf Netzbürger, die von der neuen Gebührenordnung der GEZ verunsichert sind.
Seit dem 1. Januar 2007 sind "neuartige Rundfunkempfangsgeräte" – vornehmlich internetfähige PCs und 2.5G- beziehungsweise 3G-Handys – gebührenpflichtig. Für Privathaushalte, die bereits ein Radio angemeldet haben, fallen aber keine weiteren Kosten an, sie müssen ihre PCs auch nicht gesondert bei der GEZ anmelden.
Die betrügerische Trojaner-Rechnung verlangt die Zahlung einer dreistelligen Summe, wohl um die Empfänger so zu schockieren, damit diese die angehängte Zip-Datei öffnen, ohne lange nachzudenken. Darin verbirgt sich eine ausführbare Datei, die als PDF getarnt ist (RechnungGEZ.pdf.exe). In der Grundeinstellung blendet Windows die Erweiterung .exe aus; ein Doppelklick auf das vermeintliche PDF-Dokument genügt, um den PC zu infizieren. Eine Analyse mit dem Online-Virenscanner Virustotal.com zeigt, dass die meisten Virenscanner mit aktuellen Signaturen den Schädling nicht als solchen identifizieren.
Quelle:
07.01.2007: 1&1 warnt Kunden vor gefälschten Rechnungen
Der Webhoster 1&1 warnt seine Kunden am heutigen Sonntag vor einer E-Mail-Attacke in großem Ausmaß. Demnach versenden Unbekannte Millionen von E-Mails, die dem ersten Anschein nach einer Webhosting-Rechnung von 1&1 gleichen. Nach ersten Erkenntnisssen von heise Security handelt es sich bei der Datei Rechnung.pdf.exe im Anhang um einen Rechnungstrojaner, der versucht, den Computer auszuspähen, Schadsoftware aus dem Internet nachzuinstallieren und möglicherweise den PC zu kapern. Den Dateianhang sollte man keinesfalls öffnen.
Der einführende Text der E-Mail lautet:
Sehr geehrter 1&1 Kunde,
anbei erhalten Sie Ihre Rechnung vom 29.12.2006. die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
Hinter der als Rechnungs-PDF getarnten ausführbaren Datei steckt der Trojaner Backdoor.Win32.agent.abf, der nach Tests von 1&1 erst von der Hälfte der aktuellen Virenscanner erkannt werde. Tests von heise Security ergaben ein ähnliches Ergebnis.
Die Welle rolle seit dem gestrigen Samstagabend, teilte Unternehmenssprecher Michael Frenzel mit: "Bis jetzt haben wir über 50.000 Delivery Errors und mehrere 100.000 Mails an eigene Kunden eingeliefert bekommen. Da wir die Mails von vielen Dialup-IP-Adressen bereits blockieren und diese in der Zahl nicht enthalten sind, deutet das auf ein sehr hohes Gesamtvolumen von vielen Millionen verschickter Mails hin."
Quelle:
· – · – ·
· · · – · –