Die Masche ist alt, der Verbreitungsweg überholt, und doch erleben Spam-Mails als Trägermedium für Viren und vor allem Trojaner gerade ein regelrechtes Comeback. Grund dafür ist vor allem die Professionalität, mit der die Dinger inzwischen produziert werden. Was da zurzeit ins Haus schneit, sieht schon ziemlich echt aus.
Überzeugend gestaltet und ohne grobe sprachliche Schnitzer: Die angehängte "Rechnungsdatei" transportiert den Trojaner
Jetzt haben die Profi-Abzocker eine etwas andere Masche entdeckt: Rechnungen. Die wirken (vor allem dann, wenn sie unverschämt überhöht daherkommen) bei vielen Empfängern direkt Adrenalin-ausschüttend und - das hoffen zumindest die Spammer - darum Hirn-deaktivierend: Der "Was? Wieviel Geld wollen die von mir?"-Effekt soll zum Klick im Affekt führen - und schon hat man sich was gefangen.
Im aktuellen Fall ist das ein Trojaner, den aktuelle Virenscanner als Trojan.Downloader oder Trojan.Schoeberl erkennen. Nicht aktuelle erkennen das Ding dagegen womöglich gar nicht - und spätestens nach der Infektion auch nichts anderes mehr: Die einzigen Schadfunktionen des Trojaners sind die Deaktivierung von Virenscannern und das Öffnen einer Hintertür ins System. Durch die lädt der Trojaner direkt ein Schnüffelprogramm nach, das darauf abzielt, Bankdaten auszuspionieren.
Das schafft das Programm zum Glück mit nur sehr geringem Erfolg, ein Gefährdungspotential ist aber dennoch gegeben. Prinzipiell erlaubt die virtuelle Hintertür das Nachladen diverser anderer Schadprogramme, und die Deaktivierung des Virenscanners sorgt ohnehin binnen kurzer Zeit für Probleme.
Hauptträger des Trojaners ist derzeit eine angebliche Rechnung des Internetproviders 1&1 (siehe Großversion des Bildes), er kursiert aber auch in anderen Mails. Gemeinsam ist ihnen ein Dateianhang, den der Nutzer öffnen muss, um ihn zu aktivieren. Genau das sollte man grundsätzlich nie: Dateianhänge aus ungeklärter Quelle sollte man meiden.
Der Trojaner maskiert sich als pdf-exe-Datei, was in sich schon fast ein Ausdruck schwarzen Humors ist: Wer ausführbare Dateien aus Mails öffnet, sollte umgehend zur Absolvierung des Europäischen Computerführerscheins verdonnert werden. Denn dass das ein absolutes No-No ist, lernt man schon im PC-Grundkurs.
Wie auch immer: Die Fake-Rechnung verbreitet sich seit Dienstag mit neuer Intensität. Die Virenschutz-Entwickler sind darauf vorbereitet, ihre aktuellen Virenschutz-Definitionen erkennen das Ding zuverlässig - Zeit für ein Update. Wer sich nicht sicher ist, ob er sich den Trojaner nicht schon gefangen hat (er kursiert seit Anfang des Monats, vereinzelt auch als Bank-Mail), dem stellt beispielsweise das IT-Sicherheitsunternehmen Symantec ein sogenanntes Removal-Tool zur Verfügung. Das kleine Programm gibt es kostenlos zum Download.
Botnet-Trojaner
Weiterhin äußerst aktiv ist auch der vor einigen Tagen als "Sturm-Wurm" thematisierte Trojaner TROJ_SMALL.EDW beziehungsweise Downloader-BAI!M711 oder Trojan.Peacomm. In den englischsprachigen Ländern scheint sich der recht rege zu verbreiten, weil er mit ständig wechselnden, entweder auf aktuelle Nachrichten abhebenden oder unter die Gürtellinie zielenden Lockzeilen arbeitet. Die Verbreitung gilt inzwischen als außergewöhnlich hoch, das Schadpotential ebenfalls. Der Trojaner wird zurzeit dafür benutzt, fünf weitere Schadprogramme auf den Rechner zu laden.
Bemerkenswert ist der Sturm-Wurm aber vor allem, weil er als erster Trojaner versucht, die befallenen Rechner direkt zu einem Bot-Net zu verbinden. In Bot-Netzen werden befallene Rechner zu virtuellen Netzwerken zusammen geschlossen, um - ohne Wissen der eigentlichen Besitzer der Rechner - ferngesteuert verschiedene Aufgaben zu erfüllen. Die Möglichkeiten gehen hier von der massenhaften Verteilung von Werbe- oder Viren-Spam über konzertierte Attacken auf andere Rechner oder Netzwerke, den Vertrieb illegaler Inhalte bis hin zu Industriespionage.
Auch hier geschieht der Befall über eine angehängte exe-Datei, auch hier stehen bereits aktualisierte Virenfilter bereit.
An diesen Betreffzeilen erkennt man den Sturm-Wurm:
Auch die Dateianhänge tragen eine Vielzahl verschiedener Namen. Gemeinsam ist allen, dass es sich um exe-Dateien handelt.
Trotz dieses augenscheinlichen Revivals von Viren-Spammails gilt dieser Verbreitungsweg für Schadprogramme nicht als sehr zukunftsträchtig. Die digitalen Bedrohungen von heute und morgen verbreiten sich, ohne auf das Zutun der PC-Nutzer zu setzen.
Im Trend liegen zurzeit vor allem Infektionen verbreitende Webseiten, die auf die diversen, immer wieder auftretenden Sicherheitslücken in Browsern und Betriebssystemen bauen. Ob Microsofts neues Betriebssystem Vista, das vor allem in Hinsicht auf die System-Sicherheit optimiert sein soll, daran etwas ändert, muss sich erst noch erweisen. Bis dahin gilt weiterhin, dass weit über 90 Prozent aller IT-Sicherheitsprobleme nur Windows-Rechner betreffen. Apple- und Linux-Systeme sind auch in den aktuellen Fällen vor Infektionen gefeit.
pat
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Tech | RSS |
| alles zum Thema Computersicherheit | RSS |
© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
