Warnung

Vorsicht bei Rechnungen per E-Mail

Bundesamt warnt außerdem vor Massenmailer-Wurm
Von Björn Brodersen

Zahlreiche Internetnutzer erhalten zurzeit Zahlungsaufforderungen per E-Mail, in deren Anhang sich bislang noch unbekannte digitale Schädlinge verstecken. Unter anderem stammen die gefälschten Rechnungen angeblich von der Grewe Computertechnik GmbH, die einen Auftrag bestätigen und den E-Mail-Empfänger beispielsweise auffordern, einen Betrag von 275 Euro auf ein Bankkonto der Sparkasse Vest Recklinghausen zu überweisen. Dazu werden tatsächliche Kontaktdaten, eine Widerrufsbelehrung und die Verkaufsbedingen des Unternehmens genannt. Die Rechnungsunterlagen sollen sich laut E-Mail-Text in der pdf-Datei im Anhang befinden.

Dort allerdings verbirgt sich eine ausführbare .exe-Datei, die nach ersten Angaben des Branchendienstes heise unter anderem Personal-Firewalls und Antiviren-Software lahm legt. Weitere Schadensroutinen sind noch nicht bekannt, die meisten Virenscanner sollen die enthaltenen Schädlinge noch nicht kennen. Es ist davon auszugehen, dass auch weitere Versionen dieser Mails im Netz kursieren.

Generell sollten Internetnutzer niemals Attachments von unaufgefordert eingegangenen E-Mails öffnen. Weitere Informationen zu Sicherheitsfragen im Internet liefert Ihnen unser Ratgeber.

Warnung vor Massenmailer-Wurm

Vor einem so genannten Massenmailer-Wurm warnte heute auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). W32.Blackmal.E@mm - oder auch W32/Small.KI@mm oder Nyxem.E - versendet sich den Angaben zufolge über seine eigene SMTP-Maschine mit gefälschten Absender-Adressen. Zusätzlich durchsuche er das System nach den Freigaben "ADMIN$" und "C$" sowie weiteren, durch ein schwaches Passwort geschützten Freigaben und kopiere sich selbst unter dem Namen "WINZIP_TMP.exe" in diese Verzeichnisse. Die E-Mail-Anhänge könnten ausführbare Dateien oder MIME-kodierte Dateien sein. Wird der Anhang entpackt und die beinhaltete Datei geöffnet, werde der Wurm aktiviert.

Neben dem massenhaften Selbstversand lösche der Schädling bestimmte Anti-Viren-Dateien auf dem infizierten Rechner und ändert bestimmte Registry-Einträge. Dadurch werden betroffene Systeme anfällig für Angriffe von Virenautoren. Symantec hat bereits ein Tool [Link entfernt] zur Entfernung des Wurms bereitgestellt. Der Wurm könne möglicherweise nicht im laufenden System entfernt werden, da der laufende Prozess die Datei blockiert oder Windows das Verzeichnis schützt, in dem sich das Programm befindet, erläutert das BSI.