Mal wieder ein klassischer Versuch, einen Virus über den Posteingang einzuschleusen.
Heute habe ich mal wieder eine schicke Virenmail erhalten. Grundsätzlich sollten wir diese umgehend löschen, aber ich habe mir die Sache mal genauer angeschaut.
Die E-Mail kam als “Vertragsentwurf” daher. Besagter Entwurf sollte im Anhang liegen. Hier findet sich eine IMG-Datei. Dies ist ein Datenträgerabbild. Klicken wir es an, bindet es sich als Laufwerk ein. Die gute Nachricht ist, dass dies nicht ausreicht, um sich zu infizieren.
Eine kurze Prüfung der Datei führen wir mit VirusTotal durch. Hier schlagen bereits ein paar Virenscanner an und warnen. Viele sind es jedoch nicht.
Die genaue Überprüfung nehme ich sicherheitshalber unter Linux vor. Zwar gibt es auch hier Schadprogramme, aber in aller Regel zielen diese auf Windows-Anwender ab.
Nach dem Mounten der IMG-Datei sehen wir den Inhalt. Es ist eine CHM-Datei. Hierbei handelt es sich um ein Windows-Hilfe-Format. Viele Programme in Windows verwenden dieses Format.
In einer virtuellen Windows-Maschine öffnen wir die Datei. Es öffnet sich ein Fenster und eine Powershell. Das Powershell Fenster schließt sich schnell wieder. Der Verdacht liegt nahe, dass die Powershell verwendet wird, um die wirkliche Schadsoftware herunterzuladen und zu installieren.
Der Quelltext der CHM-Datei offenbar Java-Script-Code, welcher aber kaum lesbar ist.
Mit Visual Studio Code und dem Chrome Browser räumen wir den Code auf und führen diesen aus. Hier sehen wir nun, was passiert. Es wird ein Powershell-Script zusammengebaut, welches zuerst überprüft, ob wir online sind. Anschließend sieht es so aus, als ob ein JPG-Bild von einem Server heruntergeladen wird.
Das Bild ist inzwischen nicht mehr verfügbar. Gut möglich, dass hier ein Server gehackt wurde, welcher die Schadsoftware ausgeliefert hat. Zum Zeitpunkt des Tests scheint dies aber nicht mehr der Fall zu sein.
Hier sehen wir auch ein grundsätzliches Problem von CHM-Dateien. Sofern der Computer diesen vertraut, wird der Programmcode ausgeführt. Dies erklärt auch den Umweg über die IMG-Datei. Dadurch erscheint die Datei als lokale Datei. Standardmäßig werden CHM-Dateien aus dem Internet gesperrt.
Ansonsten gilt wie immer, solche verdächtigen E-Mails immer sofort löschen.