Passwort-geschützter Schädling statt Vertrag

In Spam-artig verbreiteten Mail wird ein vorgeblicher Vertrag als Anhang verschickt, der in einer mit einem Passwort geschützten ZIP-Datei stecken soll.

Von Frank Ziemann

Die Verbreitung von Malware mit Hilfe Spam-artig verschickter Mails hat zurzeit Hochkonjunktur. Noch immer werden massenhaft vorgeblich von Microsoft kommende Update-Mails versandt. Am Wochenende ist eine weitere, kleinere Welle hinzu gekommen. Diese Mails sollen den Anschein erwecken, sie enthielten einen Vertragsentwurf, den der Empfänger erwartet hätte. Die Mail enthält einen verschlüsselten Anhang, in dem ein Trojanisches Pferd steckt.

Die Mails kommen mit dem Betreff "Contract of Settlements". Die Absenderangabe lautet "LSM Company", die Absenderadresse ist gefälscht und mit der Zieladresse identisch. Im Text heißt es in englischer Sprache, man habe den Vertrag überarbeitet und die vom Empfänger gewünschten Passagen hinzu gefügt. Man sei bereit am Freitag eine erste Zahlung anzuweisen. Um den Eindruck der Legitimität zu erhöhen (so ein Vertrag ist schließlich vertraulich), ist im Text das Passwort für die angehängte ZIP-Datei angegeben.

Diese Verschlüsselung dient jedoch lediglich dazu den Anhang unerkannt am Virenscanner vorbei zu schleusen. Die ZIP-Datei im Anhang heißt "contract_1.zip", ist etwa 30 KB groß und enthält eine Programmdatei namens "contract_1.exe" - ein Trojanisches Pferd. Wie Maydalene Salvador im Malware Blog des Antivirusherstellers Trend Micro berichtet, lädt es Dateien aus dem Internet herunter. Dabei handelt es sich um ein betrügerische Antivirusprogramm, so genannte Scareware.

Den Passwortschutz hat der schädliche Mail-Anhang bitter nötig, denn die enthaltene EXE-Datei wird bereits seit letzten Freitag von den meisten Virenscannern erkannt.

© PC WELT