‘Fedex Tracking Number N….’ mit Anhang ‘FedexInvoice_…exe’
Sieht so aus:
Dear ,
Unfortunately we were not able to deliver postal package you sent on the xyths of July in time because the recipient’s address is errorneous. Please print out the invoice copy attached and collect the package at our office
Hier ein Beispiel-Screenshot:
Mail mit Betreff Fedex Tracking Number: im Anhang lauert der Trojaner
Die Absender der Mails wirken authentisch, können aber individuell abweichen.
Der ‘Text’ der Mails sieht ein bisschen ‘gepresst’ aus, weil der Nachrichteninhalt kein echter Text ist, sondern eine stark komprimierte Grafik. So können diese Mails Spamfilter umgehen. Der Betreff – hier: Fedex Tracking Number N… – taugt auch nicht als Kriterium, denn er weicht von Mail zu Mail ab, zum Beispiel Fedex Item Status N… oder Fedex Shipment Status N… Typisch ist zum Beispiel auch einfach ID gefolgt von einer Nummer. Weitere Betreffzeilen nennt blog.mxlab.eu.
Der im ZIP versteckte Trojaner: eine ausführbare Datei, die sich als Fedex Invoice tarnt
ZIP als Format für den Anhang sorgt dafür, dass die Virenschutzwächter erst mal keinen Alarm schlagen, weil diese aus Geschwindigkeitsgründen häufig keine Archive im Mailverkehr untersuchen. Die Virenhersteller argumentieren meist damit, dass der Inhalt des ZIPs ja untersucht wird, sobald man es auspackt. Stimmt auch, allerdings nur, wenn man nicht aus Performance-Gründen den Wächter abgeschaltet hat…
MSE erkannte bei mir alle ZIPs als gefährlich. Schaut man in die ZIPs hinein, steckt jeweils ein EXE drin, also eine ausführbare Datei. Die Größen der Files sind variabel, liegen aber offenbar bei um die 40 KByte. Beim Aufruf von FedexInvoice_…exe startet Was-auch-immer und lädt beliebige andere Schadsoftware nach, lt. McAfee in diesem Fall möglicherweise das Zeus-BotNet-Modul. Daher wohl auch die Fedex-Tarnung, denn die Angriffe richten sich sichtlich gezielt an Anwender in Unternehmen.
Ergo:
Solche Mails sofort löschen, die ZIPs nicht öffnen, die Inhalte nicht starten!
