Gefälschte Mails vom Amtsgericht bringen Trojaner mit

Die IT-Sicherheitsspezialisten des deutschen Antivirenherstellers Avira warnen vor gefälschten Emails etwa vom „Amtsgericht Köln“, in deren Anhang eine vermeintliche Rechnung steckt. Wer diesen Anhang jedoch öffnet und anklickt, fängt sich damit einen Schädling ein

Tettnang, 24. Oktober 2008 – Die angeblichen Rechnungs-Mails, die in den elektronischen Posteingängen der Internetnutzer landen, tragen Betreffzeilen wie ‘Auflistung der Kosten’, ‘Amtsgericht Koeln’ oder ‘Inkasso’. Die Emails selbst enthalten folgende Texte, die immer leicht variieren, um der automatischen Spam-Erkennung zu entgehen:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.771090603943 ist erfolgt
Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
 
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung
 
 
TESCHINKASSO Forderungsmanagement GmbH
 
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
 
Ust-ID Nummer: 212 / 5758 / 0635
 
Amtsgericht Koeln HRB 39598

Ein weiteres Beispiel:
 
Sehr geehrte Damen und Herren
Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als „Vattenfallabbuchung “ angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
 
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung
 
Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin
 
Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B

Die Emails haben die Datei Rechnung.zip als Anhang. In dieser Datei finden sich wiederum die Dateien zertifikat.ssl und Rechnung.txt.lnk. Die Verknüpfung Rechnung.txt.lnk startet beim Doppelklick die ausführbare Datei zertifikat.ssl – für weniger erfahrene Anwender sieht die Datei jedoch aus wie eine Verknüpfung auf eine Textdatei, wodurch sie harmlos erscheint.
 
Beim Ausführen infiziert der Trojan-Downloader TR/Dldr.iBill.BD das System. Er legt eine Kopie von sich in den Unterordner Microsoft common\svchost.exe des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. Diese Schädlingsdatei erkennt Avira als TR/Drop.iBill.BD.
 
Grundsätzlich können sich Anwender vor dem Schädlingsbefall schützen, indem sie sich nicht von Emails unter Druck setzen lassen und dadurch zu leichtfertig unverlangt zugesandte Email-Anhänge öffnen. Zudem sollten Internetnutzer ihren Rechner stets mit aktuellen Updates für das Betriebssystem und für die installierten Anwendungen einspielen, da die Internetkriminellen häufig Sicherheitslücken in veralteter Software ausnutzen, um Anwendern etwa über gehackte Webseiten unbemerkt Schadsoftware unterzuschieben. Avira schützte bereits heuristisch vor dem in der Email verbreiteten Schädling, den die Antivirenlösungen als TR/Dropper.Gen erkannten. Mit der Virendefinitionsdatei 7.00.07.83 erkennen die Schutzprogramme des deutschen IT-Sicherheitsspezialisten den Schädling als TR/Dldr.iBill.BD.
 
 
è   Link unter „TR/Dldr.iBill.BD“ am Ende:
http://www.avira.com/en/threats/section/fulldetails/id_vir/4364/tr_dldr.ibill.bd.html
 
 
Über Avira
Avira ist ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Gebrauch. Das Unternehmen gehört mit mehr als zwanzigjähriger Erfahrung zu den Pionieren in diesem Bereich.
 
Der Sicherheitsexperte unterhält mehrere Unternehmensstandorte in Deutschland und pflegt Partnerschaften in Europa, Asien und Amerika. Im Hauptsitz in Tettnang am Bodensee beschäftigt Avira als einer der größten regionalen Arbeitgeber mehr als 180 Mitarbeiter. Weltweit sind rund 250 Personen tätig, deren Einsatz immer wieder durch Auszeichnungen bestätigt wird. Ein signifikanter Sicherheitsbeitrag ist Avira AntiVir Personal, das millionenfach bei Privatanwendern im Einsatz ist.
 
Zu den nationalen und internationalen Kunden zählen namhafte börsennotierte Unternehmen sowie Bildungseinrichtungen und öffentliche Auftraggeber. Neben dem Schutz der virtuellen Umgebung kümmert sich Avira durch Fördern der Auerbach Stiftung um mehr Schutz und Sicherheit in der realen Welt. Die Auerbach Stiftung des Firmengründers fördert gemeinnützige und soziale Vorhaben sowie Kunst, Kultur und Wissenschaft.
 
 
Kontakt zum Unternehmen:
Avira GmbH
Elisabeth Rothbart
Lochhamer Schlag 5a
D-82166 Gräfelfing/München
Telefon:  +49 (0) 89 8583 639 17
Telefax:  +49 (0) 89 8583 639 20
Email: elisabeth.rothbart@avira.com
 
Kontakt für die Presse:
LEWIS Global PR
Korinna Dieck
Baierbrunner Str. 15
D-81379 München
Telefon: +49 (0) 89 1730 19 51
Telefax: +49 (0) 89 1730 19 99
Email: avira@lewispr.com