Spammer und insbesondere Malware-Spammer lassen nichts aus, wenn es darum geht die Quote der ins Ziel gebrachten Spam-Mails zu erhöhen. Sie verifizieren zum Beispiel ihre Adresslisten, in dem sie Mails versenden, die eine Zustellbestätigung anfordern. Da sie dazu eine gültige Absenderadresse benötigen, mit der die Bestätigung empfangen werden kann, kommt ihnen der neuerliche Erfolg beim Knacken der Hotmail-CAPTCHAs gerade recht. Außerdem fälschen Malware-Spammer auch Mails, die eine fehlgeschlagene Mail-Zustellung melden und senden Malware im Anhang mit - gerne auch mit Passwortschutz.

Im Malware Blog von Trend Micro berichtet JM Hipolito über solche vorgeblichen Fehler-Mails. Sie kommen zum Beispiel mit einem Betreff wie "Important document for (Name)" sowie mit gefälschter Absenderangabe und einem Anhang.

Dieser Anhang besteht aus einem ZIP-Archiv mit einem Namen wie "doc.zip", dessen Inhalt durch ein Passwort vor der Entdeckung durch Virenscanner geschützt ist. Das Passwort steht im Mail-Text, der ansonsten nur aus einem Satz wie "Hello (Name), the document is attached." besteht. Das Archiv enthält eine etwa 32 KB große Datei namens "doc.exe", ein Trojanisches Pferd.

Genau der gleiche Schädling (mit identischer Prüfsumme) steckt auch in vorgeblichen Grußkarten-Mails, die parallel dazu verbreitet werden. Hier kommen die gefälschte Absenderangabe "greetingcard.org" und ein Betreff wie "You have received an Greeting eCard" zum Einsatz. Der Text verweist zum Anschauen der vorgeblichen Grußkarte auf den Anhang. Dieser besteht aus einem ZIP-Archiv namens "ecard.zip" (ohne Passwortschutz), das eine "ecard.exe" enthält.

Die Erkennung des Schädlings durch aktuelle Antivirus-Software weist nur noch wenige Lücken auf, einige Anbieter haben zusätzlich eine Erkennung der verschlüsselten ZIP-Datei eingebaut.

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 02.10.2008, 15 Uhr