Unmoralische Angebote:
Spam lockt mit Arbeitsplätzen

von Lars Bube (lars.bube@crn.de)

Share
09.03.2010

Eine neue Spam-Welle versucht derzeit, Opfer mit konkreten Jobangeboten zu ködern. Statt einem neuen Arbeitsplatz als Webdesigner oder ähnliches wartet dahinter jedoch der gefährliche Wurm »Win32.Worm.Mabezat.J«, der ausführbare Systemdateien befällt und E-Mail-Adressen auf dem befallenen PC ausliest.

Keine Beiträge im Forum. » Diskussion starten!

Spam statt Job: Mit dieser Masche sucht derzeit der Wurm Mabezat.J nach neuen Opfern (Bild: Martina Berg, Fotolia.com)

In Zeiten der wirtschaftlichen Flaute müssen auch die Cyberkriminellen Umdenken: Statt mit Viagra und vermeintlichen Nackt-Starphotos setzen viele Spammer derzeit eher auf Krisen-Themen. Sie versprechen den Opfern Geld, Gewinne, oder im neuesten Fall auch mal einen neuen Job:

Derzeit rollt eine Spam-Welle um die Welt, die sich auf perfideste Weise der Ängste und Probleme der Menschen im Zuge der Wirtschaftskrise bedient. Mit (bisher lediglich in Englisch aufgespürten) Betreffzeilen wie »Web designer vacancy« oder »Welcome to your new work« versuchen sie, die Opfer neugierig zu machen und zum Öffnen der Mails zu bewegen.

Doch statt einer neuen Stelle erwartet verzweifelt nach Arbeit Suchende in der Mail ein fieser Wurm, wie die Antiviren-Experten von BitDefender [1] warnen. Die Empfänger werden zunächst gebeten, einen Anhang namens »winmail.dat« anzuklicken und damit zu entpacken. Kommt man dieser Aufforderung nach, wird man anschließend gebeten, das Öffnen der Datei »Readme.doc« zu bestätigen. Hier handelt es sich allerdings nicht um ein harmloses Dokument mit allgemeinen Infos, wie man es von Readme-Dateien gewohnt ist, sondern die ausführbare Malware »Win32.Worm.Mabezat.J«.

Wurde der Schädling erst einmal geöffnet, ist er nur sehr schwer wieder los zu bekommen. Mabezat.J erzeugt zunächst über den Windows Explorer ein eigenes Verzeichnis, das den Wurm enthält. Anschließend erstellt er einen Eintrag in der Systemdatei »autorun.inf«, sowie eine Kopie des Schadcodes, die als »zPharaoh.exe« abgespeichert wird. Dann ist alles bereit, um auf breiter Front loszuschlagen.

Systemdateien in Gefahr

Besonders fies ist Mabezat.J, weil er die ersten 1768 Bytes jeder beliebigen ».exe«-Datei (ausführbare Dateien) mit seinem eigenen verschlüsselten Code zu ersetzen. Somit ist er besonders schwer zu finden und wieder loszuwerden. Die meisten anderen Schädlinge hängen sich hier einfach nur hinten and er Code der jeweiligen Startdatei an.

Jedes mal, wenn dann eine der verseuchten .exe-Dateien ausgeführt wird, infiziert der Wurm den Rechner von Neuem. So kann er sich in jedem beliebigen Programm verstecken, auch häufig genutzte Windows-Programme wie der Media Player oder Binär-Dateien in Outlook Express werden von ihm gerne befallen.

Doch damit nicht genug: Einige Varianten der Mabezat-Familie sammeln neben dem Befall ausführbarer Dateien auch noch E-Mail-Adressen aus einer Vielzahl von Dateiformaten, und versenden an diese per eigener SMTP Engine neue verseuchte Massenmails.

Um sich vor dem altbekannten Wurm zu schützen, reichen wie meist ein aktueller Virenscanner und eine gesunde Portion Skepsis gegenüber gar zu tollen Versprechen aus Mails. Ob ein System bereits infiziert ist, lässt sich leicht mit kostenlosen Online-Scannern wie dem BitDefender-QuickScan [2] überprüfen.

[1] http://www.bitdefender.de/
[2] http://quickscan.bitdefender.com/

Verwandte Artikel