Seit ges­tern Abend kur­sie­ren wie­der bös­ar­ti­ge eMails im Inter­net, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öff­net, fin­det zwei Datei­en in dem Ordern ‘RECH­NUNG’:

rechnung.txt.lnk — die jedoch im Win­dows­ex­plo­rer nur als rechnung.txt ange­zeigt wird und
zertifikat.ssl

Wer sich jetzt von dem Betreff und der Text der eMail hat ein­schüch­tern las­sen oder emo­tio­nal auf­ge­regt ist, hat gute Chan­cen sich den Tro­ja­ner ein­zu­fan­gen, denn nur eini­ge Anti­vi­ren­pro­gram­me erken­nen den Tro­ja­ner bis­her. Unser Test hat erge­ben, dass Anti­Vir die­sen der­zeit noch nicht erkennt und Dr. Web dies erst seit heu­te Vor­mit­tag kann. Ande­re Pro­duk­te von Her­stel­len wie Cla­mAV, Com­mand, Kas­pers­ky und Sophos sol­len ihn eben­falls bereits erken­nen.

Wie immer ist bei merk­wür­di­gen und unbe­kann­ten Absen­der­adres­sen und vor­al­lem .ZIP-Datei­en im Anhang höchs­te Vor­sicht gebo­ten. Auf­fäl­lig sind auch die fal­schen deut­schen Son­der­zei­chen, die durch ‘ue’, ‘ae’, etc ersetzt wer­den. Ein deut­li­ches Indiz für einen Virus oder Tro­ja­ner in der eMail. Am Bes­ten läßt man sol­che eMails zunächst ent­we­der ein paar Tage lie­gen, damit die Anti­vi­ren­her­stel­ler eine Chan­ce haben die bös­ar­ti­ge eMail zu erken­nen und einen dann zu war­nen oder löscht die­se eMail gleich.

Die eMail selbst lau­tet:

Sehr geehr­te Damen und Her­ren!
Die Anzah­lung Nr.950849253860 ist erfolgt
Es wur­den 8070.48 EURO Ihrem Kon­to zu Last geschrie­ben.
Die Auf­lis­tung der Kos­ten fin­den Sie im Anhang in der Datei: Rech­nung.

Alle unse­re Rech­nun­gen sind mit einem Sicher­heits­zer­ti­fi­kat ver­se­hen — der ist fuer Sie nicht von Bedeu­tung

TESCHIN­KAS­SO For­de­rungs­ma­nage­ment GmbH
.…

Im Betreff ste­hen dabei ver­schie­dens­te Angan­ben wie z.B.:
TESCHIN­KAS­SO
Auf­lis­tung der Kos­ten
1 Rate
Raten­zah­lung
Abbu­chung
Amts­ge­richt
Amts­ge­richt Koeln
Sray­fri­ends Anmel­dung

Update I: Nach­dem vor die­sen Viren gewarnt wird, gibt es jetzt zusätz­lich auch den Miß­brauch von Stay­Fri­ends mit fol­gen­der eMail:

…vie­len Dank fur Ihre Anmel­dung bei stayfriends.de Sie haben Sich fuer unse­ren kos­ten­pflich­ti­gen Such­ser­vice ent­schie­den. 295,96- Euro wer­den Ihrem Kon­to fur ein Jah­res­ver­trag zu Last gelegt. Wir mai­len Ihnen alle Ant­wor­ten auf Ihre Such­an­fra­ge 2 Mal woe­chent­lich zu, Sie koen­nen sich auch zu jeder Zeit ein­log­gen und den aktu­el­len Stand ein­se­hen. Ent­neh­men Sie Ihre Rech­nung und den Zugang zu Ihrem Pro­fil den unten ange­fuehr­ten Anhang. Bit­te die­sen genau­es­tens durch­le­sen und bei einer Unstim­mig­keit uns kon­tak­tie­ren. Zum Lesen wird kein zusaetz­li­ches Pro­gramm benoetigt.Falls die Anmel­dung von einer drit­ten Per­son ohne Ihre Zustim­mung durch­ge­fuehrt wur­de, fueh­ren Sie unver­zueg­lich, den in dem Anhang auf­ge­fuehr­ten Abmel­de­vor­gang aus.Der Wider­spruch ist nach unse­ren AGB’s inner­halb von 7 Tagen schrift­lich zulaes­sig!
Eine Kopie der Rech­nung wird Ihnen in den nachs­ten Tagen per Post zuge­stellt.

Update II: Inzwi­schen gibt es eine drit­te Wel­le die aber genau in die glei­che Ker­be zu schla­gen ver­sucht, hier der eMail-Text:

Sehr geehr­te Damen und Her­ren,

Use­net GmbH — usenext.de
69,85 EUR

Bea­te Uhse GmbH  beate-uhse.de
35,59 EUR

bis­he­ri­ge Mahn­kos­ten unse­rer Man­dan­ten:
68,17 EUR

vor­ge­richt­li­che Inkas­so­ge­bueh­ren:
52,92 EUR

noch offe­ner Gesamt­be­trag inklu­si­ve unse­rer Bear­bei­tungs­kos­ten:
226,64 EUR

bis­lang ist der von uns ange­mahn­te Betrag nicht aus­ge­gli­chen wor­den!

Als Ver­trags­part­ner der SCHUFA Hol­ding AG wei­sen wir dar­auf hin, dass wir Daten ueber aus­ser­ge­richt­li­che und gericht­li­che Ein­zie­hungs­mass­nah­men bei ueber­fael­li­gen und unbe­strit­te­nen For­de­run­gen an die SCHUFA Hol­ding AG, Kor­mo­ran­weg 5, 65201 Wies­ba­den, ueber­mit­teln. Ver­trags­part­ner der SCHUFA sind vor allem Kre­dit­in­s­ti­gu­te sowie Kre­dit­kar­ten- und Lea­sing­ge­sell­schaf­ten.
Moech­ten Sie die­se Schrit­te ver­mei­den, zah­len Sie bit­te bis zum 09.12.2008 Ihren Schuld­be­trag unter Anga­be Ihres
Akten­zei­chens (sie­he Anhang) auf die in der Auf­lis­tung genann­te Bank­ver­bin­dung.
Die detail­ier­te Auf­lis­tung Ihrer Rech­nun­gen, Mahn­ge­bueh­ren und die Zah­lungs bzw. Wie­der­spruchs­hin­wei­se fin­den Sie im Anhang.

Dies­mal heißt die Datei im Anhang: Anhang.zip in der wie­der­um der Tro­ja­ner steckt und schein­bar wie­der in einer leicht ande­ren Ver­si­on, denn weder Dr. Web noch Anti­vir erken­nen ihn der­zeit bei unse­ren ers­ten Tests.

Update III: Kaum haben die Anti­vi­ren­her­stel­ler die Signa­tu­ren ange­paßt, so daß die auch die bös­ar­ti­gen eMails der zwei­ten Wel­le zuver­läs­sig erkannt wer­den, ändern die Angrei­fer Ihre Datei­na­men und den Code des Tro­ja­ners. Jetzt heißt die Datei Mahnung.zip die den Schad­code ent­hält. Wir wer­den sehen, wie lan­ge die­ses Katz- und Maus­spiel noch andau­ern wird.
Eine so exzes­si­ve und mas­sen­wei­se eMail-Flut die­ser Art hat es lan­ge nicht gege­ben.

Unser Rat: Las­sen Sie sich nicht von sol­chen eMails ein­schüch­tern oder auf­re­gen! Die Beträ­ge varie­ren und sind in der Regel mit Absicht sehr hoch ange­setzt. Eben­so wird das The­ma Ero­tik genutzt. Bei­des nur um Sie dazu zu ver­lei­ten die­se sofort und ohne Nach­zu­den­ken zu öff­nen und somit die sonst übli­chen Beden­ken in der Auf­re­gung zu ver­ges­sen und jeg­li­che Vor­sicht zu miß­ach­ten. Genau dar­auf zie­len die­se eMail stets ab. Las­sen Sie sich bit­te nicht rein­le­gen!

P.S. Wie Spie­gel Online berich­tet, warnt sogar die Poli­zei Köln vor die­sen eMails, die lei­der auch schon eini­ge Opfer gefun­den hat, wie wir aus unse­ren Auf­trä­gen am Frei­tag und am Wochen­en­de wis­sen.

Galt bis vor kur­zem noch, das WPA und ins­be­son­de­re WPA2 für WLANs eine aus­rei­chend star­ke Ver­schlüs­se­lung sei, so hat Elcom­soft mit sei­ner Ankün­di­gung die­se jetzt 100 mal schnel­ler als bis­her dechif­frie­ren zu kön­nen und in nur weni­gen Sekun­den mit eini­gen weni­gen abge­fan­ge­nen Daten­pa­ke­ten kna­cken zu kön­nen das Ende die­ser bis­he­ri­gen Sicher­heit ein­ge­lei­tet.

Aller­dings basiert die aktu­el­le Beschleu­ni­gung der Dechif­frie­rung auf inten­si­ver Nut­zung der Rechen­ge­schwin­dig­keit von moder­nen NVI­DIA GPUs (Gra­fik-Pro­zes­so­ren), wobei zudem meh­re­re Kar­ten par­al­lel genutzt wer­den müs­sen um den vol­len Effekt zu erzie­len. In der Pra­xis bedeu­tet dies also, dass der tech­ni­sche und finan­zi­el­le Auf­wand ist der­zeit noch so hoch ist, dass der ‘Nach­bar von Neben­an’ oder der ‘Gele­gen­heits­ha­cker’ sicher­lich noch nicht den Auf­wand betrei­ben wird, um sich mal kur­zer­hand beim Nach­barn oder einem klei­nen Unter­neh­men ein­zu­ha­cken. Bei der Geschwin­dig­keit mit der Gra­fik­kar­ten ver­bes­sert und die Ent­wick­lung von Rechen­ka­pa­zi­tä­ten wei­ter­geht ist es jedoch wohl höchs­tens eine Fra­ge von ein bis zwei Jah­ren bis tat­säch­lich auch jeder nur halb­wegs tech­nisch begab­te Mensch in der Lage ist auch die Ver­schlüs­se­lungs­stan­dards WPA und WPA2 genau­so leicht zu kna­cken, wie es jetzt bereits bei WEP der Fall ist.

Unter­neh­men, Rechts­an­wäl­te, Steu­er­be­ra­ter und Ärz­te soll­ten des­halb unbe­dingt Ihre Netz­werk­in­fra­struk­tur über­prü­fen las­sen und bald­mög­lichst die Ein­rich­tung von VPNs für die WLAN-Zugän­ge ein­füh­ren. Alter­na­tiv emp­fiehlt sich das klas­si­sche kabel­ge­bun­de­ne Netz­werk, wel­ches sich von den Über­tra­gungs­ge­schwin­dig­kei­ten, der gerin­gen Stö­rungs­an­fäl­lig­keit und der Sicher­heit ohne­hin wei­ter­hin emp­fiehlt. Der der­zeit noch not­wen­di­ge tech­ni­sche Auf­wand zur Dechif­frie­rung dürf­te aller­dings z.B. einen Wett­be­wer­ber der Wirt­schafts­spio­na­ge betrei­ben will oder einen Drit­ten der ande­res übles im Schil­de führt, wie z.B. früh­zei­ti­ge Kennt­nis einer Stra­te­gie bei Anwäl­ten oder Bau­plä­nen eines Maschi­nen­bau­ers, etc. nicht mehr zu hoch sein. Es besteht also wohl offen­sicht­lich drin­gen­der Hand­lungs­be­darf für die­se Nut­zer­grup­pe.

Pri­vat­per­so­nen soll­ten Ihren WLAN-Access-Point nur ein­schal­ten, wenn sie ihn tat­säch­lich nut­zen und somit die Chan­ce auf einen Angriff ver­klei­nern, da Ihr WLAN dann nur spo­ra­disch gefun­den und ent­spre­chend schlech­ter gehackt oder miß­braucht wer­den kann.