Kannst du uns einen kleinen Gefallen tun? Wenn jeder, der unsere Rechercheberichte liest und hilfreich findet, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben. Folgende Möglichkeiten bieten wir an: via PayPal,via Steady, via Banküberweisung
- Sponsorenliebe | Werbung -

Wieder einmal wurden wir in der Mimikama-Redaktion auf eine E-Mail aufmerksam gemacht, die einen gefährlichen E-Mailanhang mit sich führt.

So sieht die E-Mail aus:

image

Auf den ersten Blick interessant ist, dass die E-Mail mit dem Namen „Peter-Frank Petri“ und der Telefonnummer „+49 9141 8279 347“ gezeichnet ist. Wir brauchen sicher nicht erwähnen, dass unter dieser Nummer niemand erreichbar ist (Testanruf durch die Redaktion).

Die Absender-Domain ist bei einem deutschen Hoster aus Köln gehostet. Der Internetauftritt hinter dieser Domain ist ein ganz Einfacher von Hobbyisten aus Duisburg. Hier firmiert der Domaininhaber offen mit seinem Namen, so man davon ausgehen kann, dass diese Domain gespooft wird. Sprich: Ein Rückschluss auf den eigentlichen Versender kann mir hier bedauerlicherweise nicht ziehen.

Der E-Mailanhang kommt als gepacktes Verzeichnis mit der Dateinamenserweiterung „.cab“. Hierbei handelt es sich um ein Dateiformat, welches in der Hauptsache bei Installern, selten bis gar nicht allerdings von Firmen, oder Privatpersonen verwendet wird. Dieses Format verhält sich ähnlich wie die bekannteren Archiv-Formate wie „.zip“, oder „.rar“.

Extrahiert man das Archiv erhält man die angebliche Rechnung als ausführbare „.EXE“-Datei mit dem Titel:

„bill_01_07_2014_A43EEEF4C.EXE“

image

Führt der ahnungslose User diese Datei nun mit einem Doppelklick aus, so sollte bereits jede Antiviren-Software diese Bedrohung erkennen und zur Bereinigung anbieten.

Wie man im Screenshot bereits sehen kann, handelt es sich hier um den Trojaner „TR/Cabhot.A.3“. Dieser frisst sich, sollte er nicht umgehend durch die Anitviren-Software entfernt werden in die Systemdateien, die Registry und in die Netzwerkkommunikation. Was er dort anschließend genau macht, konnten wir an dieser Stelle nicht genau ausmachen.

image

Wir haben unsere Anitviren-Software ausgeschaltet und die Datei dennoch extrahiert:

Klickt man die Datei bei ausgeschalteter AV-Stoftware doppelt an, so wird dem User mitgeteilt, dass diese Datei beschädigt sei.

image

Das macht an dieser Stelle auch Sinn, denn die Datei soll ja nichts anderes tun, als das System mit dem Trojaner zu infizieren. Nachdem wir die Datei angeklickt hatten, konnten wir eine ca. 30 prozentige Zunahme an Festplatten und Netzwerkaktivitäten feststellen, die keinen bekannten, oder gestarteten Prozessen zugeordnet hätte werden können.

UPDATE 2.8.2014!

Erneut werden solche Mails versendet:

image

image

Fazit:

Hier handelt es sich ziemlich sicher um einen sehr gefährlichen Virus, der nach der Installation umgehend seine Arbeit aufnimmt. Empfänger dieser E-Mail sollten diese NICHT ÖFFNEN UND SOFORT LÖSCHEN!

ZDDK-Gastredakteur Andreas Homburg

imageAndreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady