Die Experten der G DATA Security Labs warnen vor gefälschten Rechnungen, die sich zur Zeit massenhaft per E-Mail verbreiten. Mit wechselnden Betreffzeilen wie „Abbuchung“, „Abbuchung erfolgt“, „Amtsgericht Köln“, „Forderungsmanagement“ oder „1 Rate“ und dem Hinweis, dass ein drei- bis vierstelliger Geldbetrag vom Konto des Empfängers abgebucht worden sei, versuchen die Angreifer ihre Opfer zum Öffnen des Mail- Anhangs zu bewegen.
Wer durch die fehlenden Umlaute und syntaktische Fehler nicht aufgehalten wird die angehängte Datei „Rechnung.zip“ zu öffnen, findet dort zwei Dateien:
Rechnung.txt.lnk und
Zertifikat.ssl.
Letztere soll, so wird in einigen Varianten der Mail behauptet, ein Sicherheitszertifikat beinhalten:
„Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung“
Damit wird dem unbedarften Nutzer vorgegaukelt, dass der Text der Rechnung durch ein Zertifikat bestätigt und damit besonders sicher ist. Leider ist das Gegenteil der Fall. Gerade diese Datei beinhaltet den eigentlichen Schadcode. Durch die Endung .ssl ist sie aber nicht als ausführbare Datei erkennbar. Um die Datei zu starten wird ein weiterer, bislang unbekannter Trick verwendet. Die Datei Rechnung.txt.lnk ist eine Verknüpfung. Eine Verknüpfung kann einen beliebiges Icon erhalten. In diesem Fall hat der Autor das Icon einer Textdatei ausgewählt. Verknüpfungen haben auch die Eigenschaft, dass ihre echte Dateiendung (.LNK) nicht ersichtlich ist, selbst wenn die Dateinamen für bekannte Dateitypen angezeigt werden. So erscheint als Dateinamen lediglich „Rechnung.txt“ mit dem Icon einer Textdatei. Lediglich der kleine Pfeil links unten in der Ecke des Icons deutet darauf hin, dass es sich nicht um eine echte TXT Datei handelt.
Um die Datei zu starten, wird über die Eingabeaufforderung die Datei „Zertifikat.ssl“ aufgerufen und unbemerkt ausgeführt. Die Anwendung verbindet sich mit einem eindeutigen Schlüssel an einen Server und lädt im Hintergrund weitere schädliche Software nach und klinkt sich in den Windows-Explorer-Prozess ein, um Daten des infizierten Systems mitzulesen.
Der Schädling wird von G DATA Sicherheitsprodukten bereits erkannt. Die Experten der G DATA Security Labs empfehlen allen Anwendern die umgehende Aktualisierung ihrer Virensignaturen. Darüberhinaus sollten unerwartet eintreffende Mail-Anhänge von unbekannten Absender, die angebliche Rechnungen, Zahlungsaufforderungen etc. enthalten, mit Skepsis betrachtet und im Zweifelsfall gelöscht werden.
Expertentipp:
Um die Dateiendung .LNK anzeigen zu lassen, öffnen Sie den Registry-Editor und ändern Sie im Schlüssel HKEY_CLASSES_ROOT\lnkfile den Eintrag „NeverShowExt“ auf „AlwasyShowExt“.
Warnung: Änderungen der Registry können Ihr System beschädigen.