BSI Sicherheitswarnung 30.06.2011 – Massive Spamwelle verbreitet neue Variante des Zeus-Trojaners

Zur Zeit werden massenweise Spam-Mails verschickt, die eine neue Variante des Online-Banking-Trojaners „Zeus“ verbreiten sollen.

Erkennung:
Im Betreff wird zum Beispiel „Werkzeuge 425-736“, „Die Zahlung 785-774“ oder „Antwort“ genannt. Die in fast einwandfreien Deutsch geschriebenen Texte die zum Beispiel mit „Die Antwort auf ihre Frage über das Profil finden Sie auf unserer Webseite“, „Der Gesetzentwurf muss bis zur nächsten Woche bezahlt werden“ oder „Anbei senden wir Ihnen die Lizenzschlüssel und die entsprechenden Downloadlinks für folgende Produkte“ anfangen, laden den Empfänger ein, einen entsprechenden Link anzuklicken.

Durch das Klicken dieses Links wird eine Datei „Konto055.zip“ aus dem Internet heruntergeladen, die den Zeus-Trojaner beinhaltet.

Empfehlung: Das BSI und die Experten des Anti-Botnetz-Beratungszentrum raten, solche E-Mails sofort zu löschen und auf keinen Fall den betreffenden Link anzuklicken oder die heruntergeladene Datei „Konto055.zip“ zu öffnen.

Die aktuell von dem ZeuS-Kontrollserver nachgeladene Konfigurationsdatei beinhaltet Anweisungen zur Manipulation von Browser-Inhalten (Webinjects) beim Zugriff auf Webseiten aller gängigen deutschen Banken sowie auch Kreditkartendienstleistern, Fluggesellschaften und Online-Bezahldiensten.

Darüber hinaus beobachtet das BSI eine neue weit verbreitete “Spam-Welle” mit Texten wie “Vielen Dank fur die lange erwartete Fotos”. Der in diesen Spam-Mails enthaltene Link zeigt auf eine Datei “UploadDocIndex30.zip“. Diese ZIP-Datei beinhaltet die gleiche Variante des Zeus-Trojaners, die nur anders gepackt ist, um die Erkennung durch Virenschutzsoftware zu erschweren.

Während die in “Konto055.zip” enthaltene Variante des Schadprogramms inzwischen von vielen AV-Produkten erkannt wird, ist die Erkennungsrate bei “UploadDocIndex30.zip” aktuell noch recht gering.

Die MD5-Prüfsummen der verschiedenen Dateien sind:
a0966072d04e4c78f6e15d357389e40b  Konto055.Doc [Leerzeichen und Unterstriche].exe
e285f71ff4e12f4be2e13c397d901f86  Konto055.zip
7d4069b9ef0e9695b6cd20a8bacdfe21  UploadDocIndex30.Doc [Leerzeichen und Unterstriche].exe
a61be000c00177436944944e7fef6ea5  UploadDocIndex30.zip

Übrigens: Mit den DE-Cleanern des ABBZ können Sie Ihren Rechner bei einem Verdacht kostenfrei auf Vireninfektion prüfen. Die DE-Cleaner ersetzen allerdings keine Anti-Viren-Schutzsoftware. Nach dem Säubern des Computers sollten Sie daher in regelmäßigen Abständen eine vollständige Prüfung mit einer aktuellen Anti-Viren-Software durchführen. 

4 thoughts on “BSI Sicherheitswarnung 30.06.2011 – Massive Spamwelle verbreitet neue Variante des Zeus-Trojaners”

  1. Ich benutze eine lizensierte Premiumversion von Antivir
    benötige ich noch zusätzlich DE-Cleaner von Antivir ?
    mfg peter adler

  2. Hallo Herr Adler,
    Ihre Premium AV- Lösung ist im Hintergrund ständig aktiv und versucht Viren jederzeit zu erkennen.
    Der Avira DE- Cleaner ist ein Programm, welche jedes mal zum Scannen gestartet werden muss und ist speziell von Avira zum entfernen von Bots entwickelt worden.
    Der DE- Cleaner erkennt aber, dass eine “verwandte” AV- Lösung auf Ihrem Rechner aktiv ist und arbeitet mit ihr zusammen und erzielt dadurch eine größere Erkennungsrate.

  3. Hallo,
    wie kann dieses virus auf meine kontodaten zugreifen?? also ist das möglich auch wenn man nirgends diese angegeben hat??

    1. Nein, wenn Sie Ihre Kontodaten nicht eingegeben haben kann der Schädling diese nicht abgreifen. In dem Bot arbeitet ein Keylogger, der Ihre Tastenanschläge mitschreibt und diese dann an den Angreifer versendet. Sollten Sie also z.B. auf eine Bankseite gehen und Ihre Daten eingeben, werden genau die Tasten übermittelt, die Sie dann an Ihrem PC auf der Tastatur eingegeben haben. Wenn Sie den Verdacht haben, dass Sie sich so einen Schädling eingefangen haben sollten Sie dringend Ihr System scannen und anschliessend sicherheitshalber Ihre Passwörter ändern.

Kommentare sind geschlossen.