Rechnung.zip enthält Trojaner!

Heute früh sind in meinem Mailpostfach dutzende Mails eingetroffen, die offenbar allesamt den Spamfilter von Gmail und auch dessen Virenprüfung unterlaufen haben, aber offensichtlich ein Schadprogramm enthalten – die Chance ist also hoch, dass auch bei euch diese Mails eintrudeln.
Der Mailtext lautet (mit leichten Abwandlungen) etwa so:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.851187436487 ist erfolgt
Es wurden 7321.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH

Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598

Der Text ist immer leicht verändert, insbesondere die Summe oder die Nummer der angeblichen Anzahlung sind unterschiedlich. Auch der Mailbetreff ist stets ein anderer:

• Anzahlung
• Ratenzahlung
• Lastschrift
• Abbuchung (erfolgt)

Gleich ist allerdings immer der Mailanhang: eine ZIP-Datei namens Rechnung.zip, die entpackt zwei Dateien enthält: rechnung.txt (wobei es sich um keine Textdatei, sondern eine Verknüpfung handelt!) und zertifikat.ssl, laut dem Mail lediglich das „Sicherheitszertifikat“, in Wahrheit aber eine ausführbare Datei. Die Verknüfung rechnung.txt sorgt dafür, dass zertifikat.ssl mittels cmd.exe ausgeführt wird:

%windir%\system32\cmd.exe /c zertifikat.ssl

Wenn man wirklich so wahnsinnig ist, auf rechnung.txt doppelzuklicken, installiert sich ein Trojaner, der versucht, mit den Adressen univnext.cn und regect.mobi Kontakt aufzunehmen. Derzeit erkennen lediglich 9 von 36 Virenscannern die Datei als Schadcode!
(Da ich keine Lust hatte, meinen Rechner mit einem Trojaner zu verseuchen, stammt die Info des letzten Absatzes aus dem Security-Blog abuse.ch und auch auf tutsi.de sind detaillierte Infos darüber zu finden).

Was ist also zu tun? Ganz einfach – Mails mit derartigem Inhalt löschen, Dateianhänge nicht öffnen oder entpacken, Dateien nicht ausführen!

Und wenn man schon länger nicht den Virenscanner auf den letzten Stand gebracht hat, ist heute ein guter Zeitpunkt dafür – Kaspersky, Norton und Avira erkennen zertifikat.ssl seit den letzten Updates korrekt als böse.

• Über
• Letzte Artikel

Folgen:

Ernst Michalek

Webworker & Panoramafotograf bei Michalek.at

Seit 25 Jahren als Webworker selbständig, seit 2006 auf WordPress spezialisiert. Fotografiert 360°-Panoramen von faszinierenden Orten. Hat 10 Jahre am WIFI Wien unterrichtet und gibt sein Wissen in individuellen Workshops weiter. Interessiert an Wissenschaft, Technik und Forschung und deren Einfluss auf das Zusammenleben von Menschen. Schreibt gern und viel.

Folgen:

Letzte Artikel von Ernst Michalek (Alle anzeigen)

• Rezension vs. Rezession - Mi. 27.12.2023
• Was Corona und Lotto gemeinsam haben - Di. 9.11.2021
• Heute vor 20 Jahren hat das große Abenteuer Segeln für mich begonnen :-) - Mi. 28.4.2021