/ News
Schadcode statt Strom Options
von FeithComp vom 24.10.2020 - 271 Hits -Internetkriminelle schocken mit Kontoabbuchungen und nutzen einen neuen Trick, um Nutzer hinters Licht zu führen.
Die Experten der G DATA Security Labs warnen vor gefälschten Rechnungen, die sich zur Zeit massenhaft per E-Mail verbreiten.
Mit wechselnden Betreffzeilen, wie "Abbuchung", "Abbuchung erfolgt", "Amtsgericht Köln", "Forderungsmanagement" oder "1 Rate" und dem Hinweis, dass ein drei- bis vierstelliger Geldbetrag vom Konto des Empfängers abgebucht worden sei, versuchen die Angreifer ihre Opfer zum Öffnen des Mail- Anhangs zu bewegen.
Wer durch die fehlenden Umlaute und syntaktische Fehler nicht aufgehalten wird die angehängte Datei "Rechnung.zip" zu öffnen, findet dort zwei Dateien:
- Rechnung.txt.lnk und
- Zertifikat.ssl.
Letztere soll, so wird in einigen Varianten der Mail behauptet, ein Sicherheitszertifikat beinhalten:
"Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung"
Damit wird dem unbedarften Nutzer vorgegaukelt, dass der Text der Rechnung durch ein Zertifikat bestätigt und damit besonders sicher ist. Leider ist das Gegenteil der Fall. Gerade diese Datei beinhaltet den eigentlichen Schadcode. Durch die Endung .ssl ist sie aber nicht als ausführbare Datei erkennbar. Um die Datei zu starten wird ein weiterer, bislang unbekannter Trick verwendet. Die Datei Rechnung.txt.lnk ist eine Verknüpfung. Eine Verknüpfung kann einen beliebiges Icon erhalten. In diesem Fall hat der Autor das Icon einer Textdatei ausgewählt. Verknüpfungen haben auch die Eigenschaft, dass ihre echte Dateiendung (.LNK) nicht ersichtlich ist, selbst wenn die Dateinamen für bekannte Dateitypen angezeigt werden. So erscheint als Dateinamen lediglich "Rechnung.txt" mit dem Icon einer Textdatei. Lediglich der kleine Pfeil links unten in der Ecke des Icons deutet darauf hin, dass es sich nicht um eine echte TXT Datei handelt.
Um die Datei zu starten, wird über die Eingabeaufforderung die Datei "Zertifikat.ssl" aufgerufen und unbemerkt ausgeführt. Die Anwendung verbindet sich mit einem eindeutigen Schlüssel an einen Server und lädt im Hintergrund weitere schädliche Software nach und klinkt sich in den Windows-Explorer-Prozess ein, um Daten des infizierten Systems mitzulesen.
Der Schädling wird von G DATA Sicherheitsprodukten bereits erkannt. Die Experten der G DATA Security Labs empfehlen allen Anwendern die umgehende Aktualisierung ihrer Virensignaturen. Darüberhinaus sollten unerwartet eintreffende Mail-Anhänge von unbekannten Absender, die angebliche Rechnungen, Zahlungsaufforderungen etc. enthalten, mit Skepsis betrachtet und im Zweifelsfall gelöscht werden.
| [Kommentar schreiben] |
Ähnliche Themen
Makros - zweiten Drucker als Symbol in die Symbolleiste einfügen
Mikoop 24.11.2006 - 4092 Hits - 1 Antwort
Anlagen in Outlook Express deaktiviert / grau? Outlook Express hat den Zugriff auf die folgenden potenziell unsicheren Anlagen blockiert
Mickey 24.02.2007 - 4434 Hits -
Anschluss eines Fernsehers an PC oder Notebook
Mikoop 23.10.2009 - 11088 Hits - 4 Antworten
Ihre Frage
Ich möchte eine Frage im Forum stellen
