Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer neuen Spamwelle, die Schadprogramme im Internet verteilen soll. Die Masche ist nicht neu. Das Schadprogramm befindet sich im Anhang dieser Mails. Es tarnt sich als Zip-Datei, die angeblich Urlaubsfotos aus Ägypten enthält. Der Absender heißt Anita. Die wirklichen Versender dieser Mails sind unbekannt. Sie stammen vermutlich aus Russland.
Trojaner per Mail
Die Masche hat einen Bart, länger als das Exemplar des Methusalem. Dennoch fallen immer wieder Emailnutzer auf solche Betrugsmaschen herein. Die Email, die im Anhang das Schadprogramm enthält, tarnt sich als Urlaubsmail aus Ägypten. Der britischen Sicherheitsfirma F-Secure sind Exemplare dieser Mails schon Ende November in die Hände gefallen. Sie haben die Anhänge untersucht und sind auf eine gefährliche Variante des bekannten Trojanischen Pferdes LdPinch gestoßen.
Anita schickt Fotos
Die Mail stammt von Anita, geht an Michael und Simona und ist in englischer Sprache abgefasst. „Hier sind meine Bilder aus Ägypten“, heißt es im Nachrichtentext der Mail. „Ruft mich an, wenn ihr kommt.“ Der Anhang der verseuchten Email besteht aus einer Zip-Datei mit dem Namen my_holiday_in_egyt.zip. Die Zip-Datei enthält fünf Bilder und ein ausführbares Programm. Die Bilder tragen alle den Dateinamen egipet*.jpg – und verraten die Herkunft der Mail: Egipet ist der russische Name für Ägypten.
Alles aus Russland
Beim ausführbaren Programm, das unter dem Namen viewer_img.exe in der Zip-Datei versteckt ist, handelt es sich um das Trojanische Pferd, das dem arglosen Emailnutzer untergeschoben werden soll. Öffnet man die Datei, erscheint ein leeres Paintbrush-Fenster mit russischer Beschriftung – ein weiteres eindeutiges Indiz für die Herkunft des Trojaners. Während sich auf dem Monitor ein leeres Paintbrush-Fenster öffnet, installiert sich im Hintergrund Trojaner LdPinch.
Alter Bekannter
Trojaner LdPinch ist ein alter Bekannter. Er soll – oh Wunder! – ebenfalls aus Russland stammen und dort entwickelt worden sein. LdPinch soll FTP-Passworte und Zugangsdaten zu Mailaccounts sammeln. Darüber hinaus versucht der Schädling, weitere Schadprogramme aus dem Internet nachzuladen. Er installiert sich so im PC des betroffenen Anwenders, dass er automatisch bei jedem Start des Rechners mitgestartet wird. LdPinch ist also immer aktiv.
Das BSI warnt
Das Bundesamt für Sicherheit in der Informationstechnik warnt vor diesen netten Urlaubsgrüßen aus Ägypten. Generell sollten Empfänger keine Emailanhänge aus nicht vertrauenswürdigen Quellen öffnen und ihre Antivirensoftware stets auf dem aktuellen Stand halten, empfiehlt das BSI – eigentlich eine Selbstverständlichkeit, die sich mittlerweile allgemein herumgesprochen haben sollte. Aber dennoch gibt es offenbar immer noch Anwender, die aus welchen Gründen auch immer selbst die simpelsten Vorsichtsmaßregeln missachten, auf alles klicken, was sie im Anhang einer Email entdecken und auch sonst von Sicherheit nicht denn geringsten Schimmer haben.
Zurück zur News-Übersicht
