-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

-Produktempfehlung: Kaspersky lab-

Wieder einmal wurden wir in der Mimikama-Redaktion auf eine E-Mail aufmerksam gemacht, die einen gefährlichen E-Mailanhang mit sich führt.

So sieht die E-Mail aus:

image

Auf den ersten Blick interessant ist, dass die E-Mail mit dem Namen „Peter-Frank Petri“ und der Telefonnummer „+49 9141 8279 347“ gezeichnet ist. Wir brauchen sicher nicht erwähnen, dass unter dieser Nummer niemand erreichbar ist (Testanruf durch die Redaktion).

Die Absender-Domain ist bei einem deutschen Hoster aus Köln gehostet. Der Internetauftritt hinter dieser Domain ist ein ganz Einfacher von Hobbyisten aus Duisburg. Hier firmiert der Domaininhaber offen mit seinem Namen, so man davon ausgehen kann, dass diese Domain gespooft wird. Sprich: Ein Rückschluss auf den eigentlichen Versender kann mir hier bedauerlicherweise nicht ziehen.

Der E-Mailanhang kommt als gepacktes Verzeichnis mit der Dateinamenserweiterung „.cab“. Hierbei handelt es sich um ein Dateiformat, welches in der Hauptsache bei Installern, selten bis gar nicht allerdings von Firmen, oder Privatpersonen verwendet wird. Dieses Format verhält sich ähnlich wie die bekannteren Archiv-Formate wie „.zip“, oder „.rar“.

Extrahiert man das Archiv erhält man die angebliche Rechnung als ausführbare „.EXE“-Datei mit dem Titel:

„bill_01_07_2014_A43EEEF4C.EXE“

image

Führt der ahnungslose User diese Datei nun mit einem Doppelklick aus, so sollte bereits jede Antiviren-Software diese Bedrohung erkennen und zur Bereinigung anbieten.

Wie man im Screenshot bereits sehen kann, handelt es sich hier um den Trojaner „TR/Cabhot.A.3“. Dieser frisst sich, sollte er nicht umgehend durch die Anitviren-Software entfernt werden in die Systemdateien, die Registry und in die Netzwerkkommunikation. Was er dort anschließend genau macht, konnten wir an dieser Stelle nicht genau ausmachen.

image

Wir haben unsere Anitviren-Software ausgeschaltet und die Datei dennoch extrahiert:

Klickt man die Datei bei ausgeschalteter AV-Stoftware doppelt an, so wird dem User mitgeteilt, dass diese Datei beschädigt sei.

image

Das macht an dieser Stelle auch Sinn, denn die Datei soll ja nichts anderes tun, als das System mit dem Trojaner zu infizieren. Nachdem wir die Datei angeklickt hatten, konnten wir eine ca. 30 prozentige Zunahme an Festplatten und Netzwerkaktivitäten feststellen, die keinen bekannten, oder gestarteten Prozessen zugeordnet hätte werden können.

UPDATE 2.8.2014!

Erneut werden solche Mails versendet:

image

image

Fazit:

Hier handelt es sich ziemlich sicher um einen sehr gefährlichen Virus, der nach der Installation umgehend seine Arbeit aufnimmt. Empfänger dieser E-Mail sollten diese NICHT ÖFFNEN UND SOFORT LÖSCHEN!

ZDDK-Gastredakteur Andreas Homburg

imageAndreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.