Zur Zeit werden massenweise Spam-Mails verschickt, die eine neue Variante des Online-Banking-Trojaners „Zeus“ verbreiten sollen.
Erkennung:
Im Betreff wird zum Beispiel „Werkzeuge 425-736“, „Die Zahlung 785-774“ oder „Antwort“ genannt. Die in fast einwandfreien Deutsch geschriebenen Texte die zum Beispiel mit „Die Antwort auf ihre Frage über das Profil finden Sie auf unserer Webseite“, „Der Gesetzentwurf muss bis zur nächsten Woche bezahlt werden“ oder „Anbei senden wir Ihnen die Lizenzschlüssel und die entsprechenden Downloadlinks für folgende Produkte“ anfangen, laden den Empfänger ein, einen entsprechenden Link anzuklicken.
Durch das Klicken dieses Links wird eine Datei „Konto055.zip“ aus dem Internet heruntergeladen, die den Zeus-Trojaner beinhaltet.
Empfehlung: Das BSI und die Experten des Anti-Botnetz-Beratungszentrum raten, solche E-Mails sofort zu löschen und auf keinen Fall den betreffenden Link anzuklicken oder die heruntergeladene Datei „Konto055.zip“ zu öffnen.
Die aktuell von dem ZeuS-Kontrollserver nachgeladene Konfigurationsdatei beinhaltet Anweisungen zur Manipulation von Browser-Inhalten (Webinjects) beim Zugriff auf Webseiten aller gängigen deutschen Banken sowie auch Kreditkartendienstleistern, Fluggesellschaften und Online-Bezahldiensten.
Darüber hinaus beobachtet das BSI eine neue weit verbreitete “Spam-Welle” mit Texten wie “Vielen Dank fur die lange erwartete Fotos”. Der in diesen Spam-Mails enthaltene Link zeigt auf eine Datei “UploadDocIndex30.zip“. Diese ZIP-Datei beinhaltet die gleiche Variante des Zeus-Trojaners, die nur anders gepackt ist, um die Erkennung durch Virenschutzsoftware zu erschweren.
Während die in “Konto055.zip” enthaltene Variante des Schadprogramms inzwischen von vielen AV-Produkten erkannt wird, ist die Erkennungsrate bei “UploadDocIndex30.zip” aktuell noch recht gering.
Die MD5-Prüfsummen der verschiedenen Dateien sind:
a0966072d04e4c78f6e15d357389e40b Konto055.Doc [Leerzeichen und Unterstriche].exe
e285f71ff4e12f4be2e13c397d901f86 Konto055.zip
7d4069b9ef0e9695b6cd20a8bacdfe21 UploadDocIndex30.Doc [Leerzeichen und Unterstriche].exe
a61be000c00177436944944e7fef6ea5 UploadDocIndex30.zip
Übrigens: Mit den DE-Cleanern des ABBZ können Sie Ihren Rechner bei einem Verdacht kostenfrei auf Vireninfektion prüfen. Die DE-Cleaner ersetzen allerdings keine Anti-Viren-Schutzsoftware. Nach dem Säubern des Computers sollten Sie daher in regelmäßigen Abständen eine vollständige Prüfung mit einer aktuellen Anti-Viren-Software durchführen.