Malware-Spam

Trojanisches Pferd kommt als Zahlungsaufforderung

Derzeit werden Mails Spam-artig verbreitet, die eine vorgebliche Zahlungsaufforderung enthalten. Im Anhang steckt ein Trojanisches Pferd, das Bankdaten und Kreditkarteninformationen ausspionieren soll.

Der aktuelle Trend zur Verbreitung von Malware per Mail hält weiter an. Zurzeit werden englisch-sprachige Zahlungsaufforderungen verschickt, die vorgeblich von sehr unterschiedlichen Unternehmen kommen. Das Spektrum reicht von Autovermietungen und Fluglinien über Google und HP bis Steinway & Sons. Alle Mails bringen die gleiche ZIP-Datei mit, die ein Trojanisches Pferd zum Ausspähen von Bankdaten enthält.

Die Mails kommen mit einem Betreff wie 'payment request from xxxx" und gefälschten Absenderangaben mit Domains wie "bankmailing.com", "supportbankmailing.com" und dergleichen. Im Text heißt es, man habe ein Zahlungsaufforderung der Firma xy registriert. Die zu zahlende Summe betrage soundsoviel US-Dollar. Der genannte Betrag variiert von Fall zu Fall, mal sind es 17 Dollar, mal bis zu mehreren tausend. Die Zahlen sind offenbar zufällig generiert - zuweilen sind auch führende Nullen dabei ($060.11).

Vorsicht: Trojanisches Pferd kommt als Zahlungsaufforderung.
Vorsicht: Trojanisches Pferd kommt als Zahlungsaufforderung.

Falls sie die Zahlung stornieren wollen, sollen die Empfänger den Anhang öffnen und ein "transaction inspector module" installieren. Der Anhang trägt den Dateinamen "module.zip" und ist etwa 16 KB groß. Darin steckt eine knapp 19 KB große Datei namens "module.exe" - ein Trojanisches Pferd.

Wird der Schädling installiert, nimmt er Kontakt zu Internet-Servern in der Ukraine und den USA auf und lädt weitere Schadprogramme herunter. Er installiert eine Hintertür ins System, durch der Rechner aus dem Internet ferngesteuert und manipuliert werden kann. Außerdem spioniert er Bankdaten und Kreditkarteninformationen aus. Die Erkennung durch Antivirusprogramme weist inzwischen kaum noch Lücken auf. (PC-Welt/cvi)