Cyberkriminelle nutzen bislang unbekannten Kommandozeilen-Trick

Trojaner führt vermeintliches SSL-Zertifikat per Link aus

28.10.2008 | Autor / Redakteur: Dirk Srocke / Peter Schmitz

Der Link sieht aus wie eine Textdatei, startet aber per Kommandozeile ein als SSL-Zertifikat getarntes Schadprogramm.
Der Link sieht aus wie eine Textdatei, startet aber per Kommandozeile ein als SSL-Zertifikat getarntes Schadprogramm.

Mit einer massiven Spamwelle wollen Cyberkriminelle derzeit offenbar ein neues Botnet aufbauen. Verschiedene Sicherheitsanbieter berichten einhellig über gefälschte Rechnungen von „Vattenfall Europe“ oder dem „Amtgericht Köln“. Im E-Mail-Anhang verbirgt sich ein Trojaner, der sich doppelt tarnt und Schadcode nachlädt.

Sicherheitsdienstleister Antispameurope warnt vor einer fortlaufenden Welle gefälschter E-Mails mit angehängtem Trojaner. Die als „professionell“ eingestuften Attacken laufen alle 45 bis 120 Minuten. Die angegebenen Absender der Nachrichten wechseln dabei, so tauchen auf: Das Social Network Stay Friends, das Energieunternehmen Vattenfall Europe oder das Amtsgericht Köln.

Statt der im Betreff angegebenen Informationen über Abbuchungen, Lastschriften oder Inkassoverfahren enthalten die Nachrichten allerdings einen Trojaner. Antivirenexperte G Data hat sich die E-Mails genauer angesehen und dabei ein bislang unbekanntes Täuschungsmanöver ausgemacht.

Schadcode verbreitet sich durch neuen Kommandozeilen-Trick

Die grammatikalisch unzulänglichen Nachrichten enthalten im Anhang die gepackte Datei Rechnung.zip. Diese wiederum beherbergt den als SSL-Zertifikat getarnten Schadcode Zertifikat.ssl sowie das File Rechnung.txt.lnk.

Auf dem Windows-Desktop ist eine Link-Datei lediglich durch den Pfeil im Icon als solche zu erkennen. Die Erweiterung .lnk wird in den Standardeinstellungen des Betriebssystems nicht angezeigt – um das zu ändern, wäre ein Anpassen der Registry nötig.

Diesen Effekt machen sich die Angreifer zunutze und tarnen den Verweis zusätzlich mit einem Symbol, das eine Textdatei vermuten lässt. In Wirklichkeit verweist der Link allerdings auf die gefälschte SSL-Datei.

Trotz der Erweiterung .ssl beinhaltet das File ausführbaren Code. Dieser lässt sich zwar nicht per Mausklick starten, dafür aber über die Kommandozeile und die Option /c. Die entsprechenden Anweisungen hierfür liefert die Link-Datei an das Betriebssystem.

Beim Doppelklick auf die vermeintliche Rechnung erhalten unvorsichtige Anwender also keinen Einblick in Rechnungsdaten, sondern starten im Hintergrund einen Trojaner. Der übermittelt einen eindeutigen Schlüssel an einen Server und lädt weiteren Schadcode nach, so die G Data Security Labs.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2017453 / Malware)