Üble Tricks der Malware-Spammer

Die üblichen Tricks, um Mail-Empfänger zum Öffnen eines Anhangs zu verleiten, scheinen selbst einigen Malware-Spammern mittlerweile langweilig zu werden. Also suchen sie nach neuen Ködern, so perfide oder abwegig sie auch sein mögen. So werden etwa Mails verschickt, in denen der Absender behauptet, er habe das Baby der Mail-Empfänger entführt und fordert nun Lösegeld. Im Anhang sendet er eine ZIP-Datei mit, die vorgeblich ein Foto enthalten soll - tatsächlich steckt ein Trojanisches Pferd darin.

Wie der britische Antivirushersteller Sophos in seinem Blog meldet, versenden die Täter Mails mit einem Betreff wie "We have hijacked your Baby". Darin fordern sie 50.000 US-Dollar für die Herausgabe des angeblich entführten Kindes. Im Anhang findet sich ein knapp 6 KB großes ZIP-Archiv namens "photo.zip", das eine gleichnamige EXE-Datei enthält.

Dabei handelt es sich um ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet lädt und installiert. Es versucht den Windows-eigenen Download-Dienst BITS (Background Intelligent Transfer Service) zu nutzen, der Dateien unauffällig im Hintergrund überträgt, wenn der Rechner gerade nicht ausgelastet ist. Er wird auch von Windows Update benutzt.

Bei der auf diesem Wege verbreiteten Malware handelt es sich um Mitglieder der Schädlingsfamilie Troj/Resex-Fam. Welche weiteren Schädlinge durch diesen so genannten Trojan-Downloader installiert werden, gibt Sophos nicht an. Andere Antivirushersteller wie Avira, Kaspersky oder Eset (NOD32) rechnen die EXE-Datei zur "Delf"-Familie.

Die Wahrscheinlichkeit, dass jemand auf die Masche herein fällt, erscheint eher gering. Vielmehr setzen die Malware-Spammer wohl auf die menschliche Neugier. Eine Mail muss eben nur abwegig genug sein, um einige Leute zum Öffnen eines Anhang zu verleiten.