Interessanter Versuch

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.850375402599 ist erfolgt

Es wurden 3887.00 EURO Ihrem Konto zu Last geschrieben.

Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

Darunter befindet sich die vollständige Anschrift einer Inkasso-Firma, mit allen notwendigen Angaben. Ein kurze Suche in Google liefert auch sofort einen Treffer: Es gibt diese Firma und auch den angegebenen Geschäftsführer. (Nachdem die aber natürlich nichts damit zu tun haben, nenne ich die hier auch nicht.)

Der Schadcode befindet sich in einer Zip-Datei im Anhang der Mail. In der ZIP-Datei befinden sich zwei Dateien mit den Namen "Rechnung.txt" und "zertifikat.sll". "Rechnung.txt" ist aber in der Tat eine Verknüpfung auf den Windows-Kommandoprozessor cmd.exe mit dem Parameter "/c zertifikat.ssl". Beabsichtigt ist also, das "zertifikat.ssl" ausgeführt wird. In der Tat handelt es sich bei zertifikat.sll auch nicht um ein zertifikat, sondern um eine Programm. Extrahiert man also beides aus der ZIP-Datei und doppelklickt auf "Rechnung.txt" (Sowohl Windows als auch Outlook warnen davor - zumindest bei mir), dann wird in der Praxis der Kommandoprozessor cmd.exe gestartet und damit das Programm in zertifikat.ssl ausgeführt. Ich habe nicht weiter untersucht was das eigentlich tun soll - aber in irgend einer Form wird es wohl zusätzliche Schadcode installieren oder ähnliches.

Als Absender der eMail wird (zumindest bei mir) eine Person in einer Domäne genannt, die einer belgischen (?) Papierverarbeitugnsfirma gehört. Auch die haben natürlich nichts damit zu tun (Haben aber offensichlich keine SPF-Records, denn sonst könnte niemand fremdes deren Absenderadresse verwenden. ).