Die gestern vertweetete Spamwelle mit verseuchtem Anhang nahm an Umfang noch zu und änderte ihre Betreffzeile. Die ersten Samples waren leer und enthielten nur die Betreffzeile: mms IMG XXXXX, so dass der Empfänger ein automatisch verschicktes Bild vermuten konnte. Die Hauptmenge der Spam-E-Mails war für deutsche Empfänger gedacht, denn sie enthielt Informationen zu einer angeblichen Retourensendung von DHL.
Falsche DHL-E-Mail mit Trojaner im Anhang
Die Betreffzeile lautete: „Retourenlabel zu Ihrer DHL Sendung 840449522“, wobei die Zahlen am Ende wechselte. Scheinbarer Absender dabei: no-reply@deutschepost.de. Der E-Mail-Text war fehlerfrei, vermutlich kopiert und auch der Link in der E-Mail führt zur Originalwebsite von DHL. Mögliches Erkennungsmerkmal für eine Spam-E-Mail wäre vorerst nur die unpersönliche Anrede, da die Spammer keine individuellen E-Mails versenden können. In der E-Mail wurde auf den Anhang namens Ihre Retourenmarke.zip verwiesen. Dieser sollte ausgedruckt werden. Bei näherer Untersuchung erweist sich das entpackte PDF jedoch als ausführbare Datei (.exe), welche sich bei Doppelklick auf dem Rechner installiert.
50.000 Spam-E-Mails in 10 Minuten
Die ersten Samples dieser Welle wurde bei Eleven um etwa 09.30 Uhr deutscher Zeit registriert. Ihren Höhepunkt erreichte die Welle im ca. 12.00 Uhr mit über 5.000 E-Mails pro Minute. Nach drei schwächeren Wellen, wurde nach 16.00 Uhr kein nennenswertes Aufkommen mehr verzeichnet.
Verlauf der Trojaner-Welle
Ein Großteil der Spam-E-Mails stammt aus Italien (bzw. von italienischen IP-Adressen), gefolgt von der Türkei und Polen. Auf Platz vier lagen deutsche IP-Adressen. Was im Umkehrschluss bedeutet, dass ein relevanter Teil deutscher Nutzer solche und ähnliche E-Mails öffnet und ungewollt Schadsoftware installiert, damit Teil eines Botnetzes wird und wiederum Schadsoftware verschickt.
Verschiedene Namen – gleicher Inhalt
Zur Schadsoftware an sich ist wieder wenig Konkretes zu erfahren. Die im Portal virustotal.com zusammengefassten Virenscanner erkennen den Trojaner unterschiedlich gut. Avira vergibt den Namen Symni.dca.1 und stuft die Schadsoftware als Trojaner ein. Ein interessantes Detail wird jedoch noch verraten: virustotal listet die unterschiedlichen Namen der Anhänge auf und dort findet sich auch das anfangs verwendete MMS-Bild wieder.
Unterschieldiche Namen – gleicher Trojaner (Quelle: virustotal.com)
Eleven Securityblog-Leser am schnellsten
Bereits gestern Nachmittag schickte der erste aufmerksame Blogleser den Beispieltext einer E-Mail. Vielen Dank dafür. Insgesamt lässt sich feststellen, das der Trend deutsche E-Mail-Nutzer gezielt mit deutschen, fehlerfreien (da kopierten) Texten anzusprechen anhält. Und die Herkunftsanalyse scheint zu bestätigen, dass diese Strategie von Erfolg gekrönt ist.