Obwohl die Betrüger, die hinter dem BKA-Trojaner (auch bekannt als Ransom-Trojaner) stecken, von der Polizei gefasst wurden, sind noch zahlreiche E-Mails mit dem Schadprogramm im Umlauf.
Eine dieser E-Mails hat meine Aufmerksamkeit geweckt – sie war direkt an mich adressiert und hatte ein spezielles Format.
Die E-Mail gibt vor von dem namenhaften Online-Shopping-Portal hse24.de zu stammen. Als Empfänger ist nur die E-Mail-Adresse des Absenders sichtbar.
In der Anrede der E-Mail werden Vor- und Nachname des Empfängers genannt. Es ist anzunehmen, dass diese Daten aus der E-Mail-Adresse ausgelesen wurden. Unvorsichtige Nutzer können hierdurch von der Echtheit der E-Mail überzeugt werden. Im Anhang wird dasselbe Prinzip angewandt – er besteht aus einer Zip-Datei im Format „Rechnung <Vorname> <Nachname>.zip” / „Invoice < Vorname > <Nachname>.zip”.
Interessanterweise enthält das Zip-Archiv eine weitere Zip-Datei mit dem Namen „Bestellung 16.02.2013 – Rechnung” / „Order 16.02.2003 – Invoice”, in dem sich eine .com-Datei befindet. Allerdings ergibt eine Schnellanalyse, dass dies nur eine normale .exe-Datei ist, die mit Visual Studio erstellt wurde. Sie enthält den Trojaner „TR/Ransom.Foreign.acdb.1”. Diese Art der Malware-Verschleierung ist sehr clever, da nur sehr wenige Gateway-Sicherheitslösungen und mit Sicherheit keine lokale Anwendungmehr als eine Schicht innerhalb von Archiven scannen. Mit dieser Methode haben es die Cyber-Verbrecher geschafft, dass die gefährlichen Daten alle Sicherheitsprüfungen überwinden und es bis in den Posteingang des Nutzers schaffen.
Avira-Nutzer müssen sich keine Sorgen machen, denn alle Produkte erkennen diese Datei als „TR/Ransom.Foreign.acdb.1”. Somit sind alle Avira-Kunden geschützt.
Sorin Mustaca