Erneut starker Virenausbruch mit falschen Vodafone-MMS-Nachrichten

Erneut verzeichnet das Eleven Research-Team einen starken Virenausbruch, bei dem eine angebliche MMS als Köder dient. Diese Methode ist nicht neu, wird aber besonders gern verwendet, da keine langen Texte oder Erklärungen notwendig sind. Im konkreten Fall lautet die Betreffzeile: mms-Nachricht Thu, 30 May 2013 16:41:38 +0700, wobei die Zeitangaben unterschiedlich sind, das Datum und der Text bleiben jedoch immer gleich. Als Absender wird eine beliebige deutsche Mobilrufnummer verwendet. Auch hier wechseln die Nummern. Eine Besonderheit der aktuellen Welle: Die E-Mail selbst ist leer. Kein Text oder Link verraten hier, worum es geht. Der Anhang ist eine zip-Datei, die wahrscheinlich nach dem Zufallsprinzip mit einer Ziffern-Buchstabenfolge benannt ist. Nach dem Entpacken wird mit der Dateiendungs-Kombination jpeg.img.exe versucht, dem Nutzer zu verbergen, dass es sich um eine ausführbare Datei handelt. Hat der Nutzer die Option, bekannte Datei-Endungen ausblenden aktiviert, sieht er die Endung .exe nicht.

Eine E-Mail ohne Text - falsche Benachrichtigung von Vodafone enthält VirusEine E-Mail ohne Text – falsche Benachrichtigung von Vodafone enthält Virus

Kurze und heftige Malware-Welle verringert Reaktionszeit

Der größte Teil der Welle der E-Mails verbreitete sich zwischen 11.11 Uhr und 12.09 Uhr. Der Höchststand wurde um 11.40 Uhr beobachtet, das eleven Research-Team registrierte pro Minute über 13.000 E-Mails mit dieser Schadsoftware im Anhang . Hauptherkunftsländer der Schadsoftware waren die Türkei, Italien und Vietnam. Insgesamt wurden aber IP-Adressen aus 67 unterschiedlichen Staaten registriert. Die leeren E-Mails dürften insbesondere für alle AV und AS-Anwendungen, die vor allem auf Text-Analyse und Link-Reputation setzen, ein besonderes Problem darstellen, denn in diesen E-Mails gibt es nichts zu untersuchen. Aktuell wird die Schadsoftware nur von vier der 47 Virenscanner im Portal virustotal.com erkannt. Commtouch vergab den Namen W32/Trojan.LIPT-2090.

Zweitstärkster Virenausbruch im Mai

Die heutige Welle war die zweitstärkste unter den Virenausbrüchen im Mai. Vor allem in der zweiten Mai-Hälfte beobachtete das Eleven Research-Team besonders häufig heftige aber nur kurz andauernde Viren-Ausbrüche.

Den Anfang machten am 16. falsche Bestätigungen für Fahrkarten der Deutschen Bahn. Am 17. folgten gefälschte Telekom-Rechnungen. Die umfangreichste Welle des Monats beobachtete Eleven am 21., hier wurden falsche Anmeldungen für einen deutschen Energieversorger versendet. Besonders bemerkenswert: Es wurden Vorlagen und Texte aus deutschsprachigen Original-E-Mails verwendet. Dies legt den Schluss nahe, dass gezielt versucht wird, Computer im deutschsprachigen Raum mit Schadsoftware zu infizieren. Auf Grund der gut ausgebauten IT-Infrastruktur dürften deutsche Rechner ein lohnendes Ziel sein, denn nur so kann man ein schnell und schlagkräftig funktionierendes Botnet aufbauen.

Quelle: Eleven / Commtouch