Wieder einmal wurden wir in der Mimikama-Redaktion auf eine E-Mail aufmerksam gemacht, die einen gefährlichen E-Mailanhang mit sich führt.
So sieht die E-Mail aus:
Auf den ersten Blick interessant ist, dass die E-Mail mit dem Namen „Peter-Frank Petri“ und der Telefonnummer „+49 9141 8279 347“ gezeichnet ist. Wir brauchen sicher nicht erwähnen, dass unter dieser Nummer niemand erreichbar ist (Testanruf durch die Redaktion).
Die Absender-Domain ist bei einem deutschen Hoster aus Köln gehostet. Der Internetauftritt hinter dieser Domain ist ein ganz Einfacher von Hobbyisten aus Duisburg. Hier firmiert der Domaininhaber offen mit seinem Namen, so man davon ausgehen kann, dass diese Domain gespooft wird. Sprich: Ein Rückschluss auf den eigentlichen Versender kann mir hier bedauerlicherweise nicht ziehen.
Der E-Mailanhang kommt als gepacktes Verzeichnis mit der Dateinamenserweiterung „.cab“. Hierbei handelt es sich um ein Dateiformat, welches in der Hauptsache bei Installern, selten bis gar nicht allerdings von Firmen, oder Privatpersonen verwendet wird. Dieses Format verhält sich ähnlich wie die bekannteren Archiv-Formate wie „.zip“, oder „.rar“.
Extrahiert man das Archiv erhält man die angebliche Rechnung als ausführbare „.EXE“-Datei mit dem Titel:
„bill_01_07_2014_A43EEEF4C.EXE“
Führt der ahnungslose User diese Datei nun mit einem Doppelklick aus, so sollte bereits jede Antiviren-Software diese Bedrohung erkennen und zur Bereinigung anbieten.
Wie man im Screenshot bereits sehen kann, handelt es sich hier um den Trojaner „TR/Cabhot.A.3“. Dieser frisst sich, sollte er nicht umgehend durch die Anitviren-Software entfernt werden in die Systemdateien, die Registry und in die Netzwerkkommunikation. Was er dort anschließend genau macht, konnten wir an dieser Stelle nicht genau ausmachen.
Wir haben unsere Anitviren-Software ausgeschaltet und die Datei dennoch extrahiert:
Klickt man die Datei bei ausgeschalteter AV-Stoftware doppelt an, so wird dem User mitgeteilt, dass diese Datei beschädigt sei.
Das macht an dieser Stelle auch Sinn, denn die Datei soll ja nichts anderes tun, als das System mit dem Trojaner zu infizieren. Nachdem wir die Datei angeklickt hatten, konnten wir eine ca. 30 prozentige Zunahme an Festplatten und Netzwerkaktivitäten feststellen, die keinen bekannten, oder gestarteten Prozessen zugeordnet hätte werden können.
UPDATE 2.8.2014!
Erneut werden solche Mails versendet:
Fazit:
Hier handelt es sich ziemlich sicher um einen sehr gefährlichen Virus, der nach der Installation umgehend seine Arbeit aufnimmt. Empfänger dieser E-Mail sollten diese NICHT ÖFFNEN UND SOFORT LÖSCHEN!
ZDDK-Gastredakteur Andreas Homburg
Andreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.
Andreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama
Mehr von Mimikama
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)