Avira warnt vor gefälschten E-Mails vom Amtsgericht

Avira warnt vor gefälschten E-Mails, etwa des Amtsgerichts Köln, die als Anhang eine vermeintliche Rechnung enthalten. Wer diesen Anhang jedoch öffnet und anklickt, fängt sich einen Trojaner ein.

Die angehängte Archivdatei „Rechnung.zip“ enthält die Dateien „zertifikat.ssl“ und „Rechnung.txt.lnk“. Letztere sieht für unerfahrene Anwender wie eine Verknüpfung auf eine harmlose Textdatei aus, startet nach dem Öffnen aber die ausführbare SLL-Datei. Daraufhin wird das System mit dem Trojan-Downloader TR/Dldr.iBill.BD infiziert, der weitere Malware aus dem Internet nachlädt.

Der Schädling legt eine Kopie von sich in den Unterordner „Microsoft commonsvchost.exe“ des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt.

Die angeblichen Rechnungsmails tragen Betreffzeilen wie „Amtsgericht Koeln“, „Auflistung der Kosten“ oder „Inkasso“. Der leicht variierende Nachrichtentext behauptet, dass ein hoher Geldbetrag vom Konto des Empfängers abgebucht worden sei. Eine Auflistung der Kosten finde sich in der angehängten Archivdatei. Das enthaltene Sicherheitszertifikat sei „nicht von Bedeutung“.

Avira weist darauf hin, dass Anwender grundsätzlich keine Anhänge von unaufgefordert zugesandten E-Mails öffnen sollten. Antiviren-Programme mit aktuellen Virendefinitionen erkennen und entfernen den Trojaner.