Thema: Gefälschte BKA-Mails enthalten Trojaner

[SiLæncer]

Was derzeit in die elektronischen Postfächer trudelt, sieht zwar vielleicht auf den ersten Blick aus wie der Versuch, Anwendern den angekündigten "Bundestrojaner" unterzujubeln. In Wahrheit handelt es sich jedoch nur um eine gefälschte Mail, die vorgibt, vom Bundeskriminalamt (BKA) zu stammen, dass ein Ermittlungsverfahren gegen den Empfänger wegen Raubkopiererei eröffnet wurde.

Der Anhang der Mail soll dann einen Strafanzeige zum Ausdrucken enthalten, die man gefälligst ausfüllen und an das BKA zusammen mit einer Stellungnahme faxen solle. Dabei handelt es sich jedoch um eine ausführbare Datei, die in ihrer Funktion einem Bundestrojaner wohl in nichts nachstehen dürfte: Ein Windows-Programm, das sich im System einnistet und Dateien aus dem Internet nachlädt.

Sehr geehrte Damen und Herren,



das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft. Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen. In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067 Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu. Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.


Hochachtungsvoll

Bei einem kurzen Test der heise-Security-Redaktion erkannten gerade einmal drei Virenscanner einen Schädling: Antivir, NOD32 und Norman. Was der Trojaner genau nachlädt, muss noch weiter getestet werden. Wahrscheinlich späht er aber Passwörter aus, wie auch schon die Trojaner in den gefälschten 1&1- und GEZ-Rechnungen.

Mit einem ähnlichen Text versuchte schon der BKA-Wurm Sober.Y/Z im November 2005, Empfänger zu erschrecken und zum Öffnen des Anhangs zu bewegen. In einem Fall führte eine solche Mail sogar zu einer Selbstanzeige: Ein 20-jähriger Paderborner suchte die Flucht nach vorn und gab zu, pornografische Bilder von Kindern zu besitzen.

Quelle : www.heise.de

[Jürgen]

Woher soll denn das BKA wissen, welche E-Mail-Adresse(n) der Inhaber einer IP nutzt?
Das könnte man nur durch Mailserver-Protokolle oder komplette inhaltliche Überwachung des Teilnehmer-Zugangs erfahren, oder durch einen Geheimdienst-Trojaner...

Also sollte man sich mit dem Gedanken vertraut machen, dass man grundsätzlich keine Mail vom BKA kriegen kann 

[SiLæncer]

Beim Test eines gestern Abend erhaltenen Exemplars des in gefälschten BKA-Mails enthaltenen Trojaners zeigte sich heute morgen, dass immer noch nicht alle Scanner den Schädling als solchen erkennen. Immerhin sind es nun elf Programme, die Alarm schlagen, gestern waren es nur drei.



Das Bundeskriminalamt (BKA) warnt unterdessen in einer eigenen Mitteilung vor dem Trojaner. Laut BKA handelt es sich um eine nicht näher zu klassifizierende Schadsoftware, die sich unter Umständen beim Öffnen automatisch per E-Mail an die im Adressbuch des Rechners gelisteten Adressen weiterversendet oder weitere Schadfunktionen auf dem Rechner ausführt. Das BKA empfiehlt, die E-Mails zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Die Telefonleitungen der Behörde waren am heutigen Donnerstag überlastet. Die unbekannten Autoren der Mails hatten nicht nur das BKA als Absender genannt, sondern für Rückfragen auch Telefonnummern der Polizeibehörde. Bereits im November 2005 war eine ähnliche Mail in Umlauf gesetzt worden, die damals in Deutschland, Österreich und der Schweiz kursierten. Wie viele Anwender diesmal ihren PC infiziert haben, ist unbekannt.

heise Security konnte bei Analysen in der CWSSandbox von Sunbelt allerdings keine eigene Verbreitungsmechanismen des Trojaner feststellen. Nach bisherigen Erkenntnissen wurde er nur über Botnetze und Spam-Listen verteilt. Bei einem Scan der vom Trojaner nachgeladenen Datei (win.exe) erkannten ebenfalls nur wenige Scanner etwas Verdächtiges.

Bemerkenswert an den Trojanern in den Mails der vergangenen Wochen ist, dass sie sich nicht mehr Archiven verstecken. Mit den Archiven versuchen die Virenautoren nämlich mögliche Warnhinweise der Mail-Programme zu umgehen, da diese nur bei exe-Dateien im Anhang Alarm schlagen. Der weit verbreitetet Mail-Client-Outlook Express blendet etwa mit der eingebauten Virenschutzfunkion nur ausführbare Dateien aus (Extras/Optionen/Sicherheit/Virenschutz), ZIP-Archive lassen sich weiterhin direkt öffnen. Immerhin sind aber auch dann noch zwei Doppelklicks notwendig, um eine im Archiv enthaltene Datei zu starten. Steckt im Anhang gleich eine exe-Datei und ist die Virenschutzfunktion von Outlook Express deaktiviert, so ist zwar nur ein Doppelklick erforderlich, allerdings warnt Windows dann mit mindestens zwei Dialogen, dass die Datei Schäden auf dem Rechner anrichten könne.

Anwender müssen also einige Hürden nehmen und diverse Warnungen ignorieren, um sich mit dem Trojaner zu infizieren. Da aber trotzdem bereits bei den gefälschten 1&1- und GEZ-Rechnungen zahlreichen Anwender ihren PC infiziert haben, wirft dies die Frage auf, wie Anwender künftig mit der User Account Protection (UAP) unter Vista umgehen werden. Auch die UAP weist auf mögliche Gefahren einer ausführbaren Datei hin und fragt beim Anwender nach, ob er sie wirklich starten wolle.

Quelle : www.heise.de

[SiLæncer]

Update
Mittlerweile erkennen fast alle Virenscanner den Schädling. Allerdings stehen für AVG, Avast, eSafe, Ewido, McAfee, Microsoft, QuickHeal, Rising, UNA und VBA32 immer noch keine offiziellen Signaturen bereit.

Quelle : www.heise.de

[SiLæncer]

Die Wellen gefälschter Rechnungs-Mails sowie vorgeblich vom Bundeskriminalamt kommender Mails bezüglich angeblicher Ermittlungsverfahren reißen nicht ab.

Auch am Wochenende sind weitere Mails verbreitet worden, die wiederum vorgeben Rechnungen des Providers 1&1 zu enthalten. Auch das Bundeskriminalamt (BKA) muss erneut als vermeintlicher Absender von Mails herhalten, in denen die Empfänger über ein angeblich gegen sie eingeleitetes Ermittlungsverfahren wegen illegaler Downloads informiert werden.

Die neueren BKA-Mails entsprechen in Aufmachung und Inhalt weitgehend den ersten Exemplaren. Im Unterschied zu diesen werden die Anhänge jedoch nicht direkt als EXE-Dateien verschickt. Vielmehr sind sie zusätzlich in ein ZIP-Archiv mit einem Dateinamen wie "Akte48481.zip" (die Nummer variiert) verpackt. Diese enthalten dann stets eine Datei "Akte.pdf.exe", die ein Trojanisches Pferd darstellt.

Wird dieser Schädling gestartet, lädt er weitere Malware aus dem Internet herunter. Dabei benutzt er Web-Server, die bereits in früheren Mail-Kampagnen ähnlicher Machart als Download-Server für zusätzliche Schädlinge gedient haben. Aufgabe der herunter geladenen Malware ist es, den Rechner in eine Spam-Schleuder zu verwandeln.

Quelle : pcwelt.de