Ich habe soeben eine E-Mail von einer Firma erhalten, die namentlich mit vollständiger Anschrift und Telefonnummer im Text der E-Mail genannt wurde und sowohl als Absender als auch als Empfänger der E-Mail angegeben war – was für Mailinglisten häufig der Fall ist. An der E-Mail hing eine Datei „document.zip“, in dieser befand sich eine Datei „Documents.scr“, das ganze unter dem Betreff und Vorwand (auf Englisch), es handele sich um einen täglichen Bericht.
Das Besondere daran war, dass die Quelle klar erkennbar war. Ich habe die SCR-Datei (diese Endung bedeutet „Bildschirmschoner“ und ist unter Windows eine ausführbare Datei) mit Virustotal überprüft, 5 der 55 Scanner fanden darin einen Trojaner-Downloader. Zum Zeitpunkt meiner Überprüfung hatten bereits fünf weitere Scans dieses Dokuments stattgefunden, alle vom selben Tag.
Nach Rückruf an die in der E-Mail genannte Adresse stellte sich heraus, dass der Absender bereits wusste, dass er einer Infektion zum Opfer gefallen war. Er selbst hatte der Datei vertraut, weil sie wiederum von einem Kunden gekommen war. Es handelt sich also um eine Infektion, die wohl das vorhandene E-Mail-Programm und dessen Adressbuch benutzt, um sich an bekannte Kontakte zu versenden. Dadurch erscheint die Datei vertrauenswürdiger.
Das ist wieder ein gutes Beispiel dafür, dass es sehr wichtig ist, die Dateiendungen unter Windows einzublenden und zu verstehen, welche Endungen potentiell gefährlich sind, und auch bei Zusendungen von bekannten Kontakten vorsichtig zu sein.
