Vorsicht Falle: Keine MMS von Vodafone, sondern ein Schädling

Virus eingefangen Aktuell sind wieder verstärkt E-Mails im Umlauf, die nur scheinbar von Vodafone stammen und dem Empfänger suggerieren, dass er eine MMS bekommen habe, welche der E-Mail beigefügt sei. Mit dem Original-Vodafone-Logo und der Absender-Adresse mms@vodafone.de erhalten die Betroffenen eine E-Mail, die auf englisch vorgibt, von einer deutschen Vodafone-Rufnummer eine "picture message" erhalten zu haben. Man möge doch die angehängte Datei öffnen. Die hat zumeist den Dateinamen Vodafone_MMS.ZIP und enthält eine Datei mit dem verräterischen Dateinamen Vodafone_MMS.jpg.exe.

Würde man diese Datei ausführen, so würde eine falsche Datei "svchost.exe" im Verzeichnis "C:\Dokumente und Einstellungen\All Users" eines Windows-Rechners installiert, wie das Fachmagazin c't ermittelt hat. Beim nächsten Windows-Neustart würde diese Datei ausgeführt und könnte Angriffe auf verwundbare PHP-Script-Seiten im Internet ausführen.

Gemeinerweise wird dieser Schädling von vielen, teils auch renommierten, Antiviren-Programmen nicht erkannt. Der deutsche Hersteller Avira gehört zu den positiven Ausnahmen, er erkannte alle verdächtigen E-Mails sofort und verweigerte Outlook, den Anhang zu öffnen. Das Online-Tool auf www.virustotal.com erlaubt, die verdächtige Datei hochzuladen, dort wird sie von 44 marktgängigen Virenscannern getestet. Um 14 Uhr erkannten das gerade einmal 12 von 44 Scannern. Avira nennt den Schädling "HIDDENEXT/Worm.Gen", bekannte Software wie Avast, AVG, Bitdefender oder Microsoft Security Essentials kannten sie noch nicht, am Vormittag waren auch Eset (TrojanDownloader.Wauchos.A), F-Prot (Heuristic-300!Eldorad), F-Escure (Agent.DUGF) oder Kaspersky (Trojan.Downloader.Win32.Andromeda.cnc) noch ahnungslos gewesen.

Vorsicht bei E-Mails mit Anhang

Eine Analyse der Absenderdaten der E-Mail an "betroffener@example.com" ergibt, dass sich die Unbekannten einige (aber nicht genügend) Mühe gegeben haben:

by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis)
id 0LvjIK-1TJ8Hd2T2S-017i2H for betroffener@example.com; Mon, 05 Nov 2012 14:26:36 +0100
Delivery-Date: Mon, 5 Nov 2012 15:26:26 +0200
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 5 Nov 2012 15:26:26 +0200
From: <mms@vodafone.de>
To: <betroffener@example.com>
Date: Mon, 5 Nov 2012 15:26:26 +0200
Subject: You have received a new message
Message-ID: Message-ID: <4CMG7RY74RQ2FO60FUWHKEW86RW28V4S@legspas6.prd.it1.sp.vodafone.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=a__mjtnywhm_51_00_27"
X-UI-Loop: V01:iMi50fLT34A=:JOkx1pNn7s+qK0sgFN166Q==

Allgemein gilt: Wenn irgendwelche E-Mails mit Dateianhang eintreffen, sollte man bei Datei-Anhängen wie name.jpg.exe oder name.pdf.exe besonders aufmerksam sein, auch wenn sie in einem ZIP-Archiv vergepackt sind. Die Virenprogrammierer machen sich den Umstand zu Nutze, dass Original-Windows-Installationen die Dateiendung "bekannter" Formate ab Werk nicht anzeigen. Dies sollte umgestellt werden.

Zwar sollten gute Virenscanner sich automatisch aktualisieren, in der Praxis neigen manche Programme aber zur "Ladehemmung", deshalb notfalls im Programm ab und zu von Hand ein Update auslösen (insbesondere beim sonst gar nicht so schlechten und kostenlosen Microsoft-Programm Security Essentials zu empfehlen). Kostenlose Virenscanner müssen nicht unbedingt schlechter als gekaufte sein, können aber mit der Installation von nur bedingt hilfreichen Toolbars (Avira Free) oder weiterer Software nerven. Daher sind die 20 bis 30 Euro pro Jahr für ein gutes Antiviren-Programm eine sinnvolle Investition.

Gefakte Mails - nichts Neues

Gefakte E-Mails von Mobilfunkanbietern sind nicht neu und nicht auf Vodafone beschränkt: So wurden kürzlich gefälschte Vodafone Rechnungen verschickt, die ein vermeintliches PDF-Dokument mit schädlichem Code enthielten. Mit dem falschen Absender 1&1 war schon 2007 eine rechnung.pdf.exe im Umlauf, und 2006 versuchten Unbekannte, massenhaft gefälschte Telekom-Rechnungen mit üblem Anhang unters Volk zu streuen. Die Krönung war eine verschlüsselte ZIP-Datei, welche Virenscanner logischerweise nicht öffnen konnten, das Passwort war der Mail beigefügt und sollte wohl so besondere Seriosität vorgaukeln. Mobilfunkkunden, die ein nicht-MMS-fähiges Endgerät verwenden und dennoch eine MMS zugeschickt bekommen, werden in der Regel per SMS darüber informiert und können dann spezielle Webseiten wie z.B. http://www.mms.t-mobile.de oder http://mms.eplus.de aufrufen, wo sie ihre Rufnummer mit einem per SMS übermittelten Passwort eingeben müssen.