GEZ-Trojaner momentan für jede fünfte infizierte E-Mail verantwortlich

Januar 24, 2007 Sophos Press Release

Sophos, einer der führenden Computersicherheits-Spezialisten, warnt vor einer zunehmenden Verbreitung des neuen Trojaners, der seit wenigen Tagen als angebliche Rechnung der Gebühreneinzugszentrale (GEZ) getarnt im Umlauf ist. Besonders weit verbreitet ist der von Sophos als "Troj/DwnLdr-FYH" registrierte Schädling im deutschsprachigen Raum. Wie die Analysen SophosLabs, der weltweiten Forschungszentren von Sophos, ergaben, beträgt sein Anteil an allen aktuell per Mail verbreiteten Schadprogrammen in Deutschland bereits 20 Prozent. Um die Computeranwender dazu zu bringen, das infizierte Attachment zu öffnen, geben die kriminellen Versender der E-Mails vor, der Dateianhang enthielte Details zur persönlichen GEZ-Rechnung, für die ein deutlich überhöhter Betrag im Anschreiben genannt wird. Klicken verunsicherte Anwender auf das Attachment, öffnet sich anstelle der angeblichen GEZ-Rechnung eine ausführbare Datei, die den Trojaner auf den Rechner installiert. Troj/DwnLdr-FYH ist so programmiert, dass er weitere Schadcodes aus dem Internet herunterlädt.

Christoph Hardy, Security Consultant bei Sophos, kommentiert: "Die Masche, mit der die kriminellen Versender des Trojaners versuchen, die Computer-Nutzer zu täuschen, ist nicht neu: Indem sie die Empfänger persönlich ansprechen, einen hohen Rechnungsbetrag erwähnen und die Mails dem offiziellen Corporate Design der GEZ anpassen, führen sie zahlreiche Nutzer erfolgreich hinters Licht. Die Tatsache, dass der Trojaner weitere Schadcodes aus dem Internet auf die betroffenen Rechner lädt, bestätigt auch die Tendenz, dass immer mehr Cyberkriminelle infizierte Websites nutzen, um fremde PCs und Unternehmensnetzwerke anzugreifen. Sophos entdeckt täglich durchschnittlich 5.000 neue URLs, die schädliche Codes enthalten. Unternehmen müssen daher geeignete Sicherheitsmaßnahmen treffen, um sich vor den neuen Gefahren zu schützen, und kontrollieren, welche Internet-Anwendungen ihre Mitarbeiter nutzen."

Anwender müssen darüber hinaus höchste Sorgfalt beim Öffnen von Mails walten lassen. Im Fall der GEZ-Mail ist zwar der Absender auf den ersten Blick vertrauenswürdig, da die Mail offenbar von der Domain GEZ.de stammt, beim gründlichen Lesen des Textes stellt man allerdings eine für ein offizielles Schreiben ungewöhnliche Häufung von Tipp- und Rechtschreibfehlern fest, die darauf schließen lassen, dass es sich um eine gefälschte Mail handelt.

Sophos stellt für Sophos Anti-Virus ein Update gegen Troj/DwnLdr-FYD zum Download bereit. Mögliche Varianten des Trojaners werden mittels der in Sophos Anti-Virus integrierten Behavioral Genotype Protection-Funktion abgefangen.

Eine druckfähige Grafik zur angeblichen GEZ-Rechnung finden Sie hier.