Avira warnt vor gefälschten E-Mails vom Amtsgericht

Angebliche Rechnung enthält einen Trojaner

Avira warnt vor gefälschten E-Mails, etwa des Amtsgerichts Köln, die als Anhang eine vermeintliche Rechnung enthalten. Wer diesen Anhang jedoch öffnet und anklickt, fängt sich einen Trojaner ein.

Die angehängte Archivdatei „Rechnung.zip“ enthält die Dateien „zertifikat.ssl“ und „Rechnung.txt.lnk“. Letztere sieht für unerfahrene Anwender wie eine Verknüpfung auf eine harmlose Textdatei aus, startet nach dem Öffnen aber die ausführbare SLL-Datei. Daraufhin wird das System mit dem Trojan-Downloader TR/Dldr.iBill.BD infiziert, der weitere Malware aus dem Internet nachlädt.

Der Schädling legt eine Kopie von sich in den Unterordner „Microsoft commonsvchost.exe“ des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt.

Die angeblichen Rechnungsmails tragen Betreffzeilen wie „Amtsgericht Koeln“, „Auflistung der Kosten“ oder „Inkasso“. Der leicht variierende Nachrichtentext behauptet, dass ein hoher Geldbetrag vom Konto des Empfängers abgebucht worden sei. Eine Auflistung der Kosten finde sich in der angehängten Archivdatei. Das enthaltene Sicherheitszertifikat sei „nicht von Bedeutung“.

Avira weist darauf hin, dass Anwender grundsätzlich keine Anhänge von unaufgefordert zugesandten E-Mails öffnen sollten. Antiviren-Programme mit aktuellen Virendefinitionen erkennen und entfernen den Trojaner.

Themenseiten: Avira, E-Mail

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Avira warnt vor gefälschten E-Mails vom Amtsgericht

Kommentar hinzufügen
  • Am 27. Oktober 2008 um 17:24 von Marc

    Abgeschrieben?
    Hier scheint einer vom anderen abzuschreiben und alle zitieren die fehlerhafte Meldung der dpa, die wiederum den Unsinn der Kölner Polizei zitiert. Der Trojaner wird NICHT beim Öffnen des Anhangs aktiviert. Er wird beim Starten der Scripte aktiviert/installiert die sich IM Anhang befinden. Von ZDNet hätte ich mehr erwartet. Lest doch mal bei virenkiller.de nach.

    Wir beziehen unsere Informationen direkt von Avira. Viele Grüße, die Redaktion

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *