Malware-Spam
Vorgebliche Mahnung vom Freiherrn
In mehreren Wellen schwappen seit Freitag vorgebliche Rechnungen, Mahnungen und andere gefälschte Mails durch die Postfächer. Deren einziger Zweck ist die Empfänger zum Öffnen des schädlichen Anhangs zu verleiten.
Vorläufiger Höhepunkt einer am Freitag gestarteten Flut von Malware-Spam mit falschen Absenderangaben sind Mails, die vorgeblich vom Rechtsanwalt Freiherr von Gravenreuth im Auftrag von eBay verschickt worden sind. Gemeinsamkeit aller dieser und ähnlicher Mails ist eine ZIP-Datei im Anhang, die ein Trojanisches Pferd enthält. Es ist die erste derartige Mail-Flut in deutscher Sprache seit längerer Zeit.
In den seit Samstag verbreiteten Mails fordert der vermeintliche Absender Gravenreuth die Abgabe einer Unterlassungserklärung, weil die Empfänger angeblich Artikel bei eBay angeboten haben sollen ohne, wie vorgeschrieben, auf das Widerrufsrecht hinzuweisen. Die Mails enthalten eine knapp 10 KB große Datei "Mahnung.zip", in der zunächst eine Datei "Rechnung.pif", in späteren Varianten eine "Mahnung.pif" steckt.
Bereits am Freitag wurden verschiedene andere Mails ähnlicher Machart verbreitet, die zum Beispiel mit vorgeblichen Abbuchungen durch den Energieversorger Vattenfall, Forderungen einer TESCHINKASSO, eine Schufa-Drohung eines Proinkasso Teams oder Rechnungen für kostenpflichtige Dienste von Stayfriends für einige Unruhe bei den Empfängern sorgten. Alle Mails dieser Art sollen die Empfänger zum Öffnen des Anhangs verleiten, um ihre Rechner mit einem Trojanischen Pferd zu verseuchen.
Die Mails wurden und werden mit einem Betreff wie den folgenden verschickt (die Nummern variieren):
1 Rate
Abbuchung
Abbuchung 121956
Abbuchung erfolgt
Abbuchung erfolgt 451788
Abmahnung Nr8541
Amtsgericht
Amtsgericht Koeln
Amtsgericht Koeln 259729
Anzeigegefahr Nr1675
Auflistung der Kosten
Auflistung der Kosten 374317
Forderungsmanagement GmbH
Guenter Frhr. v. Gravenreuth Brief Nr7746
Ihre Rechnung
Inkasso
Inkasso 486882
Lastschrift
Lastschrift 591891
Mahngebuehren
Ratenzahlung
Ratenzahlung 162397
Rechnung
Schadensersatz
Srayfriends Anmeldung ID 1132373
TESCHINKASSO
Unterlassungserklaerung
Wettbewerbverstoss Nr7588
Wichtiger Hinweis NR85153 Proinkasso GmbH
Wichtiger Hinweis NR89464 zur Datenuebermittlung an die SCHUFA
Zahlungsaufforderung
Zahlungsaufforderung Nr2565
Abbuchung
Abbuchung 121956
Abbuchung erfolgt
Abbuchung erfolgt 451788
Abmahnung Nr8541
Amtsgericht
Amtsgericht Koeln
Amtsgericht Koeln 259729
Anzeigegefahr Nr1675
Auflistung der Kosten
Auflistung der Kosten 374317
Forderungsmanagement GmbH
Guenter Frhr. v. Gravenreuth Brief Nr7746
Ihre Rechnung
Inkasso
Inkasso 486882
Lastschrift
Lastschrift 591891
Mahngebuehren
Ratenzahlung
Ratenzahlung 162397
Rechnung
Schadensersatz
Srayfriends Anmeldung ID 1132373
TESCHINKASSO
Unterlassungserklaerung
Wettbewerbverstoss Nr7588
Wichtiger Hinweis NR85153 Proinkasso GmbH
Wichtiger Hinweis NR89464 zur Datenuebermittlung an die SCHUFA
Zahlungsaufforderung
Zahlungsaufforderung Nr2565
Die ersten Mails kamen mit einer Datei "Anhang.zip", spätere mit einer "Rechnung.zip", die jeweils eine "Rechnung.scr" enthalten, weitere Varianten der "Rechnung.zip" enthalten zwei Dateien: "Rechnung.txt.lnk" und "zertifikat.sll". Wie auch die vorgeblichen Mails des Münchener Anwalts transportieren sie alle ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Diese dient dazu Bankdaten auszuspionieren.
Keine der als Absender oder Auftraggeber angegebenen Personen oder Firmen hat etwas mit diesen Mails zu tun. Fast alle Antivirusprogramme erkennen inzwischen die verschiedenen Schädlinge, die in den Mails stecken, es gibt allerdings noch ein paar Lücken.
