Infektiöses E-Flugticket

Die kriminellen Urheber der aktuellen Massenmails borgen sich die offiziellen Anschreiben der führenden US-Flugunternehmen. Konkret geht es um die angebliche Zustellung von E-Tickets und Rechnungen, die im Rahmen eines so bezeichneten «Buy Airplane Ticket Online»-Service erworben wurden. Im Anhang befindet sich eine Zip-Datei. Darin befindet sich jedoch weder Ticket noch Rechnung, sondern eine Sammlung Trojanern. Die Schädlinge installieren und verbergen sich entweder im Windows-Verzeichnis oder im Programmdateiverzeichnis. Sie schreiben in verschiedene Prozesse einen eigenen Code und fügen der Windows-Firewall Ausnahmeregeln hinzu, mit denen sich die Firewall umgehen und der heimliche Zugriff auf externe Server herstellen lässt. Sie übermitteln allesamt vertrauliche Informationen und rufen Befehle des externen Angreifers von verschiedenen Ports ab. Die Trojaner versuchen überdies, eine Verbindung mit Servern herzustellen, deren Domänennamen anscheinend in der russischen Föderation registriert sind, um von dort Dateien herunterzuladen.