Die Sicherheitsspezialisten der deutschen Antiviren-Softwarehersteller Avira und G-Data warnen vor gefälschten E-Mails. Die Nachrichten stammen unter anderem vom »Amtsgericht Köln« oder dem Energieversorger Vattenfall. Im Anhang, der angeblich eine Rechnung enthält, verbirgt sich jedoch Schadsoftware.

Als Rechnungen tarnen sich E-Mails mit Trojanern an Bord, die derzeit in Deutschland die Runde machen. Solche Nachrichten werden nach Angaben der Sicherheitsfirmen G-Data und Avira in großen Mengen verschickt.

Angeblich vom Energiekonzern Vattenfall stammt diese "Rechnung". Im
Anhang befindet sich Schadsoftware.

Die Betreffzeile der E-Mails enthält Begriffe wie »Abbuchung« oder »Amtsgericht Köln«. In der Nachricht wird darauf hingewiesen, dass ein drei- bis vierstelliger Geldbetrag vom Konto des Empfängers abgebucht worden sei. Hier ein Beispiel:

Sehr geehrte Damen und Herren

Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt. Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung" angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

Vattenfall Europe AG

Chausseestra?e 23

10115 Berlin

Vertretungsberechtigter: Karl Treumeier

Umsatzsteuerident-Nummer: DR123052388

Handelsregisternummer HRB 74215B

Getarnte .EXE-Datei enthält Trojaner

In der angehängten Datei »Rechnung.zip« befinden sich laut Avira und G-Data zwei Dateien: »Rechnung.txt.lnk« und »Zertifikat.ssl«. Letztere enthält, so wird in einigen Varianten der Mail behauptet, ein Sicherheitszertifikat.

Doch gerade in dieser Datei haben die Cyber-Gangster den eigentlichen Schädling versteckt. Ein Klick auf die Datei »Rechnung.txt.lnk« startet im Hintergrund » Zertifikat.ssl«, bei der es sich in Wirklichkeit um eine ausführbare EXE-Datei handelt.

Beim Ausführen dieser Datei infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System des Opfers. Er legt eine Kopie von sich in einem Unterverzeichnis des Windows-Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version.

Anschließend verankert die Schadsoftware den automatischen Aufruf der Kopie in der Systemregistrierung. Sobald ein User den »Explorer« startet, wird auch das Schadprogramm aktiviert. Es lädt einen weiteren Trojaner aus dem Internet nach und platziert diesen im Windows-Systemverzeichnis.

Nach Angaben von G-Data und Avira werden die Schädlinge von der Schutzsoftware beider Hersteller erkannt und eliminiert. Allerdings sollten Anwender generell Vorsicht walten lassen, wenn sie unverlangt zugesandte E-Mails mit verdächtigen Anhängen erhalten.