Sicherheit
Angebliche Google-E-Mail verbreitet Trojaner
von
Thorsten
Eggeling - 04.09.2012
Derzeit sind Spam-E-Mails im Umlauf, die vorgeblich von Google stammen. Die Nachricht informiert über einen unberechtigten Zugriff auf das Google-Konto. Wer den Anhang öffnet, lädt sich einen Trojaner herunter.
Die E-Mails stammen von accounts-noreply@google.com. Im Betreff heißt es „Suspicious sign in prevented“. Der Text ist auf Englisch verfasst und ohne persönliche Anrede.
In der Nachricht heißt es, dass jemand kürzlich versucht habe, den Google-Account des E-Mail-Empfängers zu hacken. Dabei soll es sich um den Versuch von Hijacking gehandelt haben. Die E-Mail enthält Links zu Google-Hilfeseiten mit weiteren Infos, was die Echtheit zu bestätigen scheint. Die eigentliche Gefahr lauert im Anhang, der einen ausführlichen Bericht über den Angriff enthalten soll. Es handelt sich um ein ZIP-Archiv, in dem eine EXE-Datei steckt.
Zu Beginn der Spam-Welle am 3. September 2012 konnten bei VirusTotal nur zwei Virenscanner in der Datei Google_Accounts_Alert.exe einen Schädling entdecken. Inzwischen sind es 26 von 42. Viele Nutzer wären aber wahrscheinlich schon beim Start der EXE-Datei stutzig geworden, denn der Trojaner versucht einen Port in der Firewall zu öffnen, was explizit bestätigt werden muss.
Nach ersten Analysen handelt es sich um einen Backdoor-Trojaner, der Angreifern den Zugriff auf den PC ermöglicht. Microsoft Security Essentials - einer der ersten Virenscanner, der den Schädling entdecken konnte - nennt ihn Worm:Win32/Gamarue.I. Auf infizierten Systemen trägt sich die Schadsoftware in der Registry in den Autorun-Schlüssel „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run“ ein und aktiviert sich damit bei jedem Windows-Start. Der Trojaner mutiert dann zum Wurm, indem er auf USB-Sticks und Netzwerklaufwerken die Datei Autorun.inf ablegt und darüber andere PCs infizieren will. Das klappt allerdings bei aktuellen Windows-Versionen standardmäßig nicht. Autorun ist für externe Laufwerke und Netzwerkfreigaben bereits seit einiger Zeit deaktiviert.
Aktuell wird noch mindestens eine weitere Spam-E-Mail mit dem angeblichen Absender accounts-noreply@google.com versendet. Dabei geht es um die Bestätigung einer Hotel-Reservierung. Im Anhang befindet sich der gleiche Trojaner, nur mit dem Namen Booking_Hotel_Confirmation.exe. Andere E-Mails tragen den Betreff „Your BlackBerry ID has been created“. Hier heißt die Datei BlackBerry_ID_Instructions.pdf.exe.
So schützen Sie sich
Seien Sie grundsätzlich skeptisch bei sämtlichen E-Mails, deren Ursprung Sie nicht eindeutig verifizieren können. Wenn die Nachricht keine persönliche Anrede enthält, können Sie die Seriosität grundsätzlich infrage stellen. Und vor allem: Öffnen Sie bei geringstem Zweifel auf keinen Fall Links oder Anhänge der E-Mails. Sie können außerdem davon ausgehen, dass kein seriöser Anbieter ein ZIP-Archiv mit einer EXE-Datei als Anhang verschickt.
Seien Sie grundsätzlich skeptisch bei sämtlichen E-Mails, deren Ursprung Sie nicht eindeutig verifizieren können. Wenn die Nachricht keine persönliche Anrede enthält, können Sie die Seriosität grundsätzlich infrage stellen. Und vor allem: Öffnen Sie bei geringstem Zweifel auf keinen Fall Links oder Anhänge der E-Mails. Sie können außerdem davon ausgehen, dass kein seriöser Anbieter ein ZIP-Archiv mit einer EXE-Datei als Anhang verschickt.
