Neue Malware-Mails mit Sensationsmeldungen

Über das Wochenende wurden weitere Varianten eines Trojanischen Pferds per Mail verbreitet. Die vermeintlichen Sensationsnachrichten im Betreff wechselten dabei ebenso wie die Malware-Varianten im Anhang.

Bereits am Freitag startete eine Welle Spam-artig verbreiteter Mails, deren Betreff teilweise auf reale Ereignisse wie den Orkan "Kyrill" Bezug nahmen ( wir berichteten ). Weitere Wellen mit neuen Betreffzeilen und immer wieder neuen Malware-Varianten folgten über das Wochenende. Am Samstag ging es zum Beispiel um den Start einer chinesischen Rakete:

- Chinese missile shot down USA aircraft
- Chinese missile shot down USA satellite
- Chinese missile shot down Russian satellite
- Russian missile shot down USA aircraft
- Russia missile shot down USA satellite
- Russian missile shot down Chinese aircraft
- Radical Muslim drinking enemies' blood
- Sadam Hussein alive!
- Sadam Hussein safe and sound!
- U.S. Southwest braces for another winter blast. More then 1000 people are dead. (new)
- The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
- The commander of a U.S. nuclear submarine lunch the rocket by mistake.
- Venezuelan leader: "Let's the War beginning".
- Fidel Castro dead.
- Hugo Chavez dead.

Unter den Mails fanden sich jedoch auch solche, die angeblich eine Grußkarte enthalten sollten. Ein Ende dieser Spam-Wellen ist derzeit nicht in Sicht. Gemeinsam ist all diesen Mails, dass sie keinen Text enthalten und im Anhang eine EXE-Datei mit einer Größe zwischen 25 und 50 KB mitbringen. Öffnen Sie den Anhang derartiger Mails in keinem Fall.

Bei diesen EXE-Dateien handelt es sich um diverse Varianten verschiedener Trojanischer Pferde. Die Schädlinge von Freitag und Samstag (Größe meist um die 27 KB) installieren eine Datei "wincom32.sys" im System32-Verzeichnis von Windows. Dieser Treiber soll nach Angabe von McAfee den Download weiterer Malware tarnen. Dazu gehören Dateien mit Namen wie "game0.exe", "game1.exe" und so fort, die verschiedene Schädlinge, darunter Spam-Bots, darstellen.

Im Laufe des Sonntags scheint ein Teil dieser Schädlinge direkt per Mail verschickt worden zu sein, mutmaßlich von bereits verseuchten Rechnern aus mit Hilfe der zuvor nachgeladenen Malware. Als Betreff ist unter anderem "Third World War just have started!" und "Dream Girl" beobachtet worden, weitere listet F-Secure im Weblog seiner Virenforscher auf. Es ist zu erwarten, dass auch in den nächsten Tagen weitere Wellen derartiger Mails folgen werden.

Die per Mail verbreitete Malware wird unter der Bezeichnung "CME-711" ( Common Malware Enumeration ) subsummiert. Angesichts der ständig wachsenden Zahl von Varianten weist die offizielle CME-Liste allerdings derzeit noch keinen Eintrag dazu auf.

Quelle PC Welt