Am Wochenende erhielten Internet-Nutzer in Deutschland Spam-artig verbreitete Mails mit gefälschten Absenderangaben, die eine angebliche Ebay-Abrechnung enthielten. Auf diese Weise sollten die Rechner der Mail-Empfänger mit einem Trojanischen Pferd verseucht werden.
Die Mails wurden mit dem Betreff "eBay Rechnung" verschickt. Der Text der Mails bezieht sich auf einen Abrechnungszeitraum 1. bis 36. Mai 2006 - ein Tippfehler, der eigentlich auffallen sollte.
Guten Tag,hier ist eine Zusammenfassung der Kontoaktivitaeten seit Ihrer letzten Rechnung
In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung-------------------------------------------------------------------------------
Rechnung vom 26 Mai 2006Abrechnungszeitraum: 1.Mai 2006 - 36. Mai 2006 PST/PDTFortlaufende ID: 06-EU21707177-1 AG
eBay International AGHelvetiastrasse 15/173005 BernSchweiz
Schweizer MwSt-Nummer: 508 508EU - Umsatzsteuer-Identifikationsnummer: EU528006619Firmennummer: CH-035.3.833.397-8
eBay-Kontonummer: E137688440957-EURRechnungsnummer: 044694-1313165379010
Letzte Rechnung: |0,00Zahlungen und Gutschriften: |0,00
Faelliger Gesamtbetrag: |636,56
[...]
Die Mails enthalten einen Anhang namens "Ebay-Rechnung.pdf.zip", worin eine Datei "Ebay-Rechnung.pdf.exe" verpackt ist. Es sind zwei recht unterschiedliche Versionen bekannt, in einem Fall ist die ZIP-Datei 11 KB groß (EXE: 23 KB), in dem anderen nur 5 KB (EXE: 7 KB). Möglicherweise gibt es auch noch weitere Varianten.
Wird die EXE-datei ausgeführt, installiert sie eine Hintertür ("Backdoor"), durch die über das Internet auf den befallenen Rechner zugegriffen werden kann. Ferner werden weitere Schädlinge herunter geladen. Die Windows XP Firewall wird durch einen Registry-Eintrag, der eine Ausnahmeregel definiert, ausgetrickst.
Erkennung durch Antivirus-Software:
* noch nicht in offiziellen Updates enthaltenQuelle: AV-Test, Stand: 29.05.06, 15:00 Uhr