Auf eine "neue" Masche sind Spammer übers Wochenende verfallen: Ist es nicht "wichtig", diese merkwürdige, unbekannte E-Mail anzuklicken um nachzuschauen, um welchen Vertrag es sich da handelt? (NEIN! E-Mails von unbekannten, nicht erwarteten Absendern NICHT AUFRUFEN und auch KEINE ANHÄNGE ÖFFNEN!) Wieder ein Fall von "Social Engineering": Es wird (leider oft erfolgreich) darauf spekuliert, dass viele unüberlegt E-Mails öffnen, wenn es sich anscheinend um "Wichtiges" handelt. ABER: Es ist SEHR unüblich, etwas wirklich Wichtiges unangekündigt als E-Mail zu verschicken!
Es ist mal wieder ein Trojanisches Pferd unterwegs (eine schädliche Software, die sich im Anhang der E-Mail versteckt). Seit vergangenem Wochenende wird von einer kursierenden E-Mail berichtet (Betreffzeilen "Tilgungsvertrag", Abbuchungsvertrag". "Mietvertrag", "Darlehensvertrag", "Konto eröffnet"...).
Die Spammer hoffen darauf, dass der E-Mail-Anhang "Vertrag.rar" angeklickt wird. Dahinter steckt aber keineswegs ein Vertragstext. computerwoche.de: "Das Archiv enthält jedoch nicht etwa eine Word-Datei (ihr Icon soll dem von Microsoft Word sehr ähneln), sondern eine ausführbare Datei namens "vertrag.exe". Laut Sicherheitsanbieter Avira handelt es sich dabei um den Trojaner "TR/Spy.Buzus.gyj". Anders als in früheren Phishing- oder Viren-Mails sollen die Texte zudem in gutem Deutsch verfasst sein, verhältnismäßig wenige Fehler aufweisen und so vermeintlich glaubwürdig erscheinen. (kf)"
Laut pc-welt.de versteckt sich darin "ein Trojanisches Pferd, das ein Rootkit installiert. Der Schädling steckt im Anhang dieser Mails... Im Anhang der Mails befindet sich ein 38 KB großes, komprimiertes RAR-Archiv (Vereinbarung.rar), das die vorzeitige Entdeckung durch Virenscanner verhindern soll. Es enthält eine Datei namens "vertrag.exe", die jedoch keinen Vertragstext sondern ein Trojanisches Pferd enthält. Diese installiert ein Rootkit aus der Wsnpoem-Familie.
Es installiert sich als "ntos.exe" im System32-Verzeichnis von Windows und legt die Dateien "audio.dll" und "video.dll" im Verzeichnis C:\Windows\system32\wsnpoem an. Letztere dienen zum Sammeln und Speichern von Informationen sowie zur verschlüsselten Speicherung der Konfiguration des Schädlings. Die ntos.exe wird hingegen in die Registry eingetragen, um bei jedem Windows-Start geladen zu werden.
Die Erkennung des Schädlings durch Antivirus-Software hat sich über das Wochenende verbessert, ist jedoch noch lückenhaft."
Quellen:
hoax-info.de
pc-welt.de
computerwoche.de