Vorsicht: Neuer Trojaner wird von bekannten Mail-Adressen verschickt

Immer mehr als „Geschäftsmails“ getarnte Nachrichten mit einer Zip-Datei erreichen derzeit Rechner in Österreich und Deutschland. Auf den ersten Blick wirken diese E-Mails unverdächtig. Das in der Datei befindliche Word-Dokument ist allerdings der gefährliche Banking-Trojaner namens Ursnif. Wird er auf einem Windows-Computer eingeschleust, kopiert er diverse Daten, wie Benutzernamen und Kennwörter, oder zeichnet Tastatureingaben auf.

Das große Problem bei dieser E-Mail-Welle ist, dass Antivirusprogramme den Trojaner nicht sofort erkennen. Das Zip-Archiv kann nämlich nur mit der Eingabe eines Passworts geöffnet werden. Der Nutzer bekommt diesen sehr einfachen Code in der E-Mail mitgeliefert und gibt ihn ein. Grund für Misstrauen gibt es im ersten Moment nicht, da die Absender der Mails oft bekannt sind oder die Nachrichten als Antwortschreiben auf einen vorangegangenen Mailwechsel getarnt sind.

Achtung: „info_01_21.doc“

Öffnet man das Archiv, kommt das Word-Dokument namens „info_01_21.doc“ auf den Rechner. Das Antivirusprogramm schlägt laut dem Analyse-Experten Virustotal nur für einen Bruchteil von Sekunden Alarm. Öffnet man in Folge auch noch die Word-Datei, schleust sich der Trojaner auf den Computer ein. Das funktioniert laut PC-Welt aber nur dann, wenn das automatische Ausführen von Makros in Word zugelassen ist und laut Heise nur in Microsoft Office. Ausgeschlossen sind OpenOffice oder LibreOffice.

Grundsätzlich sind diese Befehle in Word standardmäßig deaktiviert, können aber sehr einfach aktiviert werden. Für Hacker bieten sie ein leichtes Spiel, um auf Computerdaten zuzugreifen.