Mal wieder ein perfider Spam mit Virenanhang.
Heute kam mal wieder eine Spamnachricht. Auf den ersten Blick, ok eine Supportanfrage für unsere Software. Irgendwas mit einer Anfrage bzgl. Keys. Der untere Teil ist eine Antwort, welche ich vor Jahren mal geschrieben habe.
Erst der Text darüber machte mich stutzig. Ein Fax? Um was geht es da? Dann sollte ich etwas herunterladen. Spätestens hier ist Vorsicht angesagt. Zahlreiche Viren und Trojaner bedienen sich inzwischen am Posteingang von bereits infizierten, kopieren Mails und verschicken sich als getarnte Antwort. Das wirkt, wer eine solche E-Mail als vermeintliche Antwort bekommt, klickt leichter auf einen potenziellen Anhang.
Grundsätzlich sollte man solche Mails am besten gleich löschen. Ich habe mir aber mal die Mühe gemacht, mir die Sache genauer anzuschauen. Natürlich in einer virtuellen Maschine, welche isoliert vom Rest meines Systems läuft und danach auch wieder zurückgesetzt werden kann.
Beim Download handelt es sich um ein ZIP-Archiv. Entpacken wir dieses kommt eine Excel-Datei zur Vorschau. Ein Klassiker, Excel bringt eine Makrosprache mit, welche gerne dafür verwendet wird, digitale Plagegeister aus dem Netz zu laden.
Aber machen wir erstmal einen Test mit VirusTotal. Das Ergebnis: gerade mal 3 Virenscanner schlugen an. Ein Virenscanner garantiert hier also keinen Schutz. Die Scanner die anschlagen bestätigen den Verdacht eines Trojaners.
Gut öffnen wir die Sache mal. Zur Sicherheit trenne ich die Netzwerkverbindung der virtuellen Maschine, damit nicht irgendwas Zugriff auf mein Netz hat. Normal kann mit NAT nicht soviel passieren, aber Vorsicht ist die Mutter der Porzellankiste.
Excel öffnet die Datei, allerdings bereits mit einer Warnung. Microsoft hat hier auch dazu gelernt und führt irgendwelche Makros nicht mehr direkt aus, schon gar nicht, wenn die Datei aus dem Internet stammt. Das wissen auch die Entwickler der bösen Software. Nach dem Öffnen kommen Meldungen, dass man zum Betrachten des Dokuments die Makros aktivieren soll. Spätestens hier sollten die Alarmglocken aber so richtig schrillen.
Aber gut, in der VM probieren wir das ganze mal aus. Die Makros werden ausgeführt und führen irgendwelche Aktionen aus. Diese schlagen in der VM aber fehl. Vielleicht liegt es am fehlenden Internet?
Wie auch immer, wenn das Makro erfolgreich ausgeführt wird, beginnt meist der Download der eigentlichen Schadsoftware, welche dann das System infiziert. Je nach Schädling ist dann alles möglich, Teilnahme an einem Botnet, ein Verschlüsselungstrojaner oder ein Bitcoin-Miner. Alles ist möglich.
Daher immer vorsichtig sein!