Malware im Rechnungsgewand unterwegs.
Die Tage erreichten mich einige E-Mails mit “Rechnungen”. Jeweils von unterschiedlichen Firmen. Der Betrag ist relativ klein, meist unter 100 Euro. Dazu ein Hinweis, dass die Rechnung im Anhang ist, als ZIP-Archiv, welches dann wiederum mit einem Kennwort geschützt ist.
Das Kennwort ist zum Glück in der E-Mail gleich dabei. Kenner wissen, dass dahinter Malware steckt. Die Empfehlung lautet solche Mails direkt zu löschen. Der Kennwortschutz dient dazu, dass ein Virenscanner die Datei nicht öffnen und scannen kann.
Also kurz die virtuelle Linux Maschine gestartet und die Datei entpackt. Zwar gibt es auch Malware, welche auf Linux läuft, aber in der Regel ist Windows adressiert.
Spannenderweise findet sich eine .lnk Datei im Archiv. Dies ist eine Windowsverknüpfung. Ein Test mit VirusTotal zeigt, dass die Virenscanner die Bedrohung bereits erkennen. Die Chancen stehen also gut, dass auch der Virenscanner des PCs das Ding erkennt, wenn es entpackt wird. Dennoch nichts, was man unter Windows testen sollte.
Die LNK-Datei verweist auf die Powershell. Die Vermutung liegt nahe, dass hier ein Script ausgeführt wird, welches dann die eigentliche Schadsoftware aus dem Internet nachlädt und installiert.
Am Ende, wie bereits erwähnt solche Mails direkt löschen.
