23.05.2007, 14:33

Frank Ziemann

Malware-Spam: Wieder falsche Mails vom Anwalt

Eine neue Welle von Mails mit vorgeblichen Mahnschreiben des Schmidtlein-Anwalts schwappt zurzeit in die Mailboxen. Im Anhang der gefälschten Mails steckt ein Trojanisches Pferd.
Die Fantasie der Malware-Spammer scheint doch begrenzt zu sein. Die inzwischen mindestens vierte Welle von Malware-Spam mit derselben Masche wird seit Montag Abend verbreitet und hält weiter an. Die Mails kommen mit der gefälschten Absenderangabe "anwalt@forderungseinzug.de" und einem Betreff wie "Forderung AZ: 370329/06", "Aktenzeichen: 920242/60" oder auch "AZ: 655803/69" (die Nummern variieren).
Im Text wird eine regelmäßig mit Rechenfehlern gespickte Forderung nach angeblich ausstehenden Zahlungen für Dienste der Schmidtlein-Brüder erhoben. Die angegebenen IP-Adressen sind teilweise schlicht ungültig, denn keine der vier Zahlen darf größer als 255 sein. Der Text verweist auf den Anhang, der angeblich eine digital signierte Word-Datei sein soll.
Tatsächlich jedoch findet sich, soweit nicht bereits vom Virenscanner kassiert, zunächst ein RAR-Archiv mit Dateinamen wie "Anlage_zum_Mahnung.rar" oder "Original_Invoice.rar". Darin steckt eine EXE-Datei mit doppelter Endung und PDF-Symbol sowie dem Dateinamen "O_Mahnung_Sign17174724535187871.pdf.exe".
Dabei handelt es sich um ein 29 KB großes Trojanisches Pferd, dessen wesentliche Aufgabe es ist weitere Malware aus dem Internet zu laden. Es holt sich mit Hilfe des Internet Explorers zunächst eine Textdatei mit einer verschleierten Download-Adresse, von der es dann eine Datei "temp.exe" lädt. Diese wird sogleich ausgeführt und legt wie schon in früheren Fällen eine Programmbibliothek namens "ipv6monl.dll" (67 KB) im System32-Verzeichnis von Windows an.
Diese DLL wird als BHO (Browser Helper Object) im Internet Explorer registriert. Sie kann nun eingegebene Anmeldedaten für das Online-Banking protokollieren und an die Täter melden. Bei jeder neuen Spam-Welle werden frisch generierte Varianten der gleichen Malware eingesetzt, um die Erkennung durch Virenscanner zu erschweren.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 1 von 2
Diskutieren Sie mit anderen Lesern über dieses Thema:
10348
Content Management by InterRed