Zwischen 11.00 und 13.00 Uhr deutscher Zeit beobachtete das Eleven Research-Team einen heftigen Virenausbruch. Er ist ein weiterer Teil einer nur an deutsche gerichteten Malware-Kampagne. Die Spam-E-Mail ist in deutscher Sprache verfasst und nutzt eine GMX-Rechnung, um die Empfänger zu ködern.
Die Betreffzeile lautet: „GMX – Ihre Rechnung vom 03.12.2013“ und der angebliche Absender ist rechnungsstelle@gmxnet.de. In der Spam-Mail heißt es weiter: „Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader.“ Der Anhang ist jedoch eine Datei im Format .zip.
Diesen Anhang sollte man jedoch nicht per (Doppel-) Klick öffnen, denn er enthält die Schadsoftware. Je nach Einstellung von Mail-Programm oder Computer wird auch die entpackte Datei gleich ausgeführt. Damit ist die Malware installiert. Im aktuellen Fall enthält der Anhang eine unter nur Windows ausführbare Datei (.exe).
Deutsche und europäische IT-Infrastruktur bei Malware-Versendern beliebt
Der Ausbruch ist einer der stärksten der letzten 30 Tage. Die E-Mails kommen zu rund einem Viertel aus Italien, aber auch zu einem größeren Teil aus Deutschland. Dies ist das Ergebniss der lokalisierten Kampagnen auf deutsche Nutzer. Trotz Warnungen scheint eine ausreichende Anzahl Bots auf deutschen Rechnern installiert zu sein, so dass diese die gut ausgebaute IT-Infrastruktur in Deutschland nutzen können. Neben deutschen IP-Adressen kommen weitere E-Mails auch aus Polen, der Türkei und Spanien. Dies lässt auf eine europäische Kampagne schließen. In den Eleven Security-Reports zeichnet sich dieser Trend bereits seit längerem ab, leider liegen europäische Staaten zunehmend auf den vorderen Plätzen beim Malware-Versand.