Die IT-Sicherheitsspezialisten des deutschen Antivirenherstellers Avira warnen vor gefälschten Emails etwa vom „Amtsgericht Köln“, in deren Anhang eine vermeintliche Rechnung steckt. Wer diesen Anhang jedoch öffnet und anklickt, fängt sich damit einen Schädling ein

Die angeblichen Rechnungs-Mails, die in den elektronischen Posteingängen der Internetnutzer landen, tragen Betreffzeilen wie ‘Auflistung der Kosten‘, ‘Amtsgericht Koeln‘ oder ‘Inkasso‘. Die E-Mails selbst enthalten folgende Texte, die immer leicht variieren, um der automatischen Spam-Erkennung zu entgehen:

{code|

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.771090603943 ist erfolgt

Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.

Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

 

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

 

 

TESCHINKASSO Forderungsmanagement GmbH

 

Geschaeftsfuehrer: Siegward Tesch

Bielsteiner Str. 43 in 51674 Wiehl

Telefon (0 22 62) 7 11-9

Telefax (0 22 62) 7 11-806

 

Ust-ID Nummer: 212 / 5758 / 0635

 

Amtsgericht Koeln HRB 39598

}

Ein weiteres Beispiel:

{code|

Sehr geehrte Damen und Herren

Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.

Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung " angezeigt.

Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

 

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

 

Vattenfall Europe AG

Chausseestraße 23

10115 Berlin

 

Vertretungsberechtigter: Karl Treumeier

Umsatzsteuerident-Nummer: DR123052388

Handelsregisternummer HRB 74215B

}

Die E-Mails haben die Datei Rechnung.zip als Anhang. In dieser Datei finden sich wiederum die Dateien zertifikat.ssl und Rechnung.txt.lnk. Die Verknüpfung Rechnung.txt.lnk startet beim Doppelklick die ausführbare Datei zertifikat.ssl – für weniger erfahrene Anwender sieht die Datei jedoch aus wie eine Verknüpfung auf eine Textdatei, wodurch sie harmlos erscheint.

Beim Ausführen infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System. Er legt eine Kopie von sich in den Unterordner Microsoft common\svchost.exe des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. Diese Schädlingsdatei erkennt Avira als TR/Drop.iBill.BD.

Grundsätzlich können sich Anwender vor dem Schädlingsbefall schützen, indem sie sich nicht von Emails unter Druck setzen lassen und dadurch zu leichtfertig unverlangt zugesandte Email-Anhänge öffnen. Zudem sollten Internetnutzer ihren Rechner stets mit aktuellen Updates für das Betriebssystem und für die installierten Anwendungen einspielen, da die Internetkriminellen häufig Sicherheitslücken in veralteter Software ausnutzen, um Anwendern etwa über gehackte Webseiten unbemerkt Schadsoftware unterzuschieben. Avira schützte bereits heuristisch vor dem in der Email verbreiteten Schädling, den die Antivirenlösungen als TR/Dropper.Gen erkannten. Mit der Virendefinitionsdatei 7.00.07.83 erkennen die Schutzprogramme des deutschen IT-Sicherheitsspezialisten den Schädling als TR/Dldr.iBill.BD.

http://www.avira.com/en/threats/section/fulldetails/id_vir/4364/tr_dldr.ibill.bd.html