Zeus-Trojaner nutzen wieder falschen Xerox-Betreff

von Legacy Eleven Blog Articles

Sie sind wieder da. Nicht, dass wir sie vermisst hätten – die Spam-E-Mails vom Xerox Work Center. „Scanned Image from a Xerox WorkCentre“ hieß es in der Betreffzeile vieler E-Mails der letzten Stunden. Rund 80 Prozent Anteil an der verschickten Malware der letzten 24 Stunden hatten diese E-Mails, die im Anhang eine Zeus-Variante transportierten.

Trojaner-E-Mail - wieder einmal angeblich vom Xerox Work Center

Trojaner-E-Mail – wieder einmal angeblich vom Xerox Work Center

Wie schon früher enthielten die E-Mails eine fingierte Nachricht über die Zusendung gescannter Dokumente. Wer in einer größeren Firma oder Universität arbeitet, kennt das: An einer zentralen Stelle wird gedruckt und gescannt, das Ergebnis ist nicht nur auf Papier zu haben, sondern auch per E-Mail. Genau dieser Anschein soll in diesen E-Mails erweckt werden. Im Anhang befinden sich die vermeintliche gescannten Dokumente, verpackt als zip-Datei. Wie bei vielen Anhängen dieser Art ist das Entpacken noch ungefährlich, erst ein Doppelklick auf die vermeintlichen PDF-Dokumente (oder das automatische Öffnen der Datei) installieren die Schadsoftware auf dem Computer.

Bestseller in der Betreffzeile

Diese Art von Virus- bzw.Trojaner-E-Mail ist nicht neu. Ganz im Gegenteil – das Eleven Research-Team kann immer wieder kurze Wellen mit diesem Trick beobachten.

E-Mails mit dem Keyord Xerox seit Januar 2011

E-Mails mit dem Keyword Xerox seit Januar 2011

Im Sommer 2010 fielen diese E-Mails das erste Mal auf. Kurze Zeit später wurde auf diesem Wege immer wieder versucht, Malware zu verbreiten. Diese Betreffzeile scheint ein Bestseller zu sein. Bei näherer Betrachtung der E-Mails fallen einige Punkte auf, die dafür sprechen könnten. Die E-Mails (der Text) sind kurz und das verringert die Fehleranfälligkeit. Die Anrede ist nicht persönlich, was in diesem konkreten Fall allerdings gar nicht stört, da es sich um einen automatisierten Prozess handelt – und hier erwarten Nutzer in der Regel gar keine persönliche Anrede. Die Verwendung englischer Sprache ist nicht auffällig – denn auch diese Eigenschaft verzeiht man einem Gerät („Maschinen sprechen eben meistens Englisch…“). Die vorteilhafteste Eigenschaft dieser E-Mails ist jedoch vermutlich ihre Unauffälligkeit: Die Versender stehen immer wieder vor der Herausforderung, Anlässe zu finden, die interessant sind, interessant genug, die E-Mail zu beachten – es darf jedoch auch kein zu unwahrscheinlicher Anlass sein. Völlig fremde Frauen schicken Fotos von sich? Eher nicht. Der Kollege hat Dokumente gescannt und mich “cc” gesetzt? Das wäre vorstellbar.

Nicht von einem Scanner

Es gibt keinen Hinweis darauf, dass diese Spam-E-Mails tatsächlich von einem „gehackten“ Scanner, Drucker oder einem ähnlichen Gerät stammen. Mit dem Auftauchen solcher E-Mails wurde oft spekuliert, dass solche Geräte schlecht gesichert seien, unbeachtet und ziemlich schutzlos im Netz verfügbar wären. Die Geräte haben Netzanschluss und ausreichend Speicher – würde dort Malware platziert werden, könnten Spam und Trojaner theoretisch auf diesem Wege versendet werden.

In diesem Falle trifft diese Annahme jedoch nicht zu – es gibt keinerlei Hinweise darauf, dass diese Spam-E-Mails auf solchem Wege versandt wurden.

Zurück