Blog

Müll per eMail

Bereits vor Ostern landete wieder nette Post in meinem Briefkasten. Die Person, ein Trajko Ziegler (in der Regel gefälscht), von der eMail-Adresse constance@annahospital.de (Die Domain gibt es wirlich. Bei “constance” keine Ahnung.), war so frei mir folgendes Ei ins Nest zu legen:

Alle laufenden Arbeiten wurden rechtzeitig durchgeführt,
ich verstehe nicht warum Sie immer noch nicht bezahlt
haben und mir 207.40 euro schulden. Kostenplan im Anhang.

Trajko Ziegler.

Im Anhang fand sich dann eine ZIP-Datei namens:

kostenplan.zip

Aber, wie wir alle wissen, sind diese ZIP-Rechungs-Geschichten Müll. Aber auch gefährlicher Müll, da in der Regel in diesen ZIP-Dateien eine ausführbare Datei steckt, die den Computer mit Malware verseucht.

Ich kenne viele Leute die völlig in Panik ausbrechen, wenn Sie eine eMail bekommen, in deren Text Geld verlangt wird. Und in dieser Panik öffnet man mal schnell das Archiv und anschließend die darin verpackte Datei:

kostenplan-5571-(gekürzt)-2068.doc

Uups. Was ist das? Eine doc-Datei? Nein!!!

datei-malware-1

Windows zeigt an (siehe Bild), dass es sich um eine Anwendung handelt. Also lautet der richtige Name der Datei:

kostenplan-5571-(gekürzt)-2068.doc.exe

Würde ich die Datei jetzt starten, würde folgendes passieren:

  • Das gestartete Programm würde am Port 34972 horchen. Will also irgendwas empfangen/senden.
  • Ein paar HTTP-Anfragen würden ausgeführt. Sendet irgendwas hoch oder runter.
  • Es erstellt einen Fingerabdruck vom System (Biosdaten, Hardwaredaten, Softwaredaten).
  • Versucht lokale Firewalleinstellungen zu bearbeiten.
  • Liest die History der Webbrowser aus, um gespeicherte private Daten zu erhalten.
  • Und zusätzlich installiert sich der Schnuckiputz im Autostart, um uns täglich genauer zu überwachen.

Also einer der üblichen Versuche mehr über meine Identität herauszubekommen, um mich später oder mit Hilfe meiner Daten andere Leutz abzuzocken (Identitätsdiebstahl).

Aber wir starten die Datei natürlich nicht, sondern gucken uns erstmal ein paar weitere Daten an. Wir machen einen Rechtsklick und wählen Eigenschaften.

datei-malware-2

Hier bekommen wir mehr Informationen unter dem Reiter Details.

Einmal die Dateibeschreibung mit dem Begriff: Bavujy

Dann den Produktnamen: Asthma Bigot

Ein Copyright für: Jenny 1999 – 2010

Noch interessant der Originaldateiname: Plato.exe

Der einfache Nutzer unter uns macht jetzt folgendes:

Wir rufen unseren Freund Google auf und suchen nach Bavujy+Plato.exe. Wir können auch noch Asthma Bigot suchen und stoßen auf die selben Ergebnisse.

Dann finden wir bspw. die Webseite herdprotect.com und erhalten die Info, dass es sich um Malware handelt, die ca. 5 Tage nach Emfpang von so gut wie allen Antivirenprogrammen gefunden wird und die Verbreitung bei 33% in den USA und 66% in Deutschland liegt (Stand bei Veröffentlichung dieses Beitrages.). Klick hier: http://www.herdprotect.com/kostenplan-…aspx .

Übrigends die Infos, was die Datei macht, wenn man sie wirklich startet, findet sich dann hier: https://malwr.com/analysis/ZjkwY…../ .

Wer jetzt noch Lust hat, öffnet die Datei mit einem reinen Texteditor ( Erst Editor öffnen und dann die Datei. Also, wenn Ihr wirklich glaubt zu wissen was Ihr tut! 🙂 ). In der Regel stehen da nur Sonderzeichen und normale Zeichen aneinander. Ich hatte aber auch schon mal den Fall, das im Klartext eine eMail-Adresse inklusive Wohnort und der Vorname des Programmierers enthalten war. :c) Hier ist das aber nicht der Fall.

Damit ersparen wir uns weitere Experimente und löschen Datei und eMail. Müll bleibt Müll!

Ich möchte natürlich anmerken, dass bei einer frischen eMail, mit wirklich frisch erstellter Malware-Datei das Antiviren-Programm (egal welches), genauso, wie eine Hardwarefirewall in der Regel bis selten NICHTS findet und wegkickt. Die Datei ist eben neu. Auch eine Google-Suche wird eher Nichts bringen. Es empfiehlt sich also bei derartigen Anhängen erstmal drei Tage zu warten und vor dem Download oder öffnen des ZIP-Files auch die eigene (gekaufte) Sicherheitssoftware zu aktualisieren (Signaturdatenbank). Auf meinem System hat die Sicherheitssoftware das ganze Ding gleich weggekickt. Wenn Ihr solche Dateien erhaltet, nutzt die Funktion eures Antivirenprogramms und reicht die Datei zur Analyse ein. Damit helft Ihr dann auch den Nutzern die in Panik diesen Müll öffnen.

Tagged , ,