CQ de DL4DE - Hallo Meschede, Hallo Welt!

Virus per Post – frei Haus!

Wie war das bisher mit den Viren?
Anfangs, als das Internet noch niemand kannte und es auch noch nicht wirklich existierte, fing man sich einen Virus durch eine infizierte Datei auf einer Diskette ein. Viren, wie der bekannte „Parity Boot“ kennt vermutlich noch der ein oder andere, der Ende der 1980er und Anfang der 1990er Jahre mit einem PC gearbeitet hat.
Mit den Akustikkopplern und Modems kamen dann Viren hinzu, die man sich in den verschiedenen Mailboxen einfangen konnte. Das blieb damals aber eher den Nerds (sic) vorbehalten, die diese Mailboxen nutzten und sich Dateien aus zweifelhaften Quellen herunterluden.

Mit Aufkommen des Internet waren es dann E-Mails, die als neues Verbreitungsmedium zum Einsatz kamen. Die Verbreitung geschah dann schon in Massen und wenn sich auch nur ein sehr kleiner Prozentsatz der Empfänger damit infizierten, so waren es danach dennoch etliche tausend infizierte Computer. Neben den E-Mails gab und gibt es natürlich noch jede Menge Schadcode in dubiosen Downloads oder direkt auf irgendwelchen Webseiten.
Soweit so alltäglich. Wir alle kennen die Gefahren und gehen mehr oder weniger ordentlich damit um.

Aktuell etablieren sich aber immer wieder neue Wege, einen Rechner oder gleich ganze Unternehmensnetzwerke zu infizieren.
Ein Fall, der vor einigen Wochen über meinen Tisch kam, war die Bewerbung per E-Mail an die Personalabteilung der Firma, in der ich arbeite. Goldeneye – ein Virus der in einer als Bewerbung getarnten E-Mail auftritt und dessen Bewerbungsschreiben perfekt personalisiert ist. Die Firmen-Adresse, der Name des Mitarbeiters der Personalabteilung und sogar die ausgeschriebene Stelle – alles war richtig und plausibel beschrieben und weckte beim Empfänger daher keinen Verdacht. Ungewöhnlich war nur die Art und Weise, wie man in der Bewerbung auf den Lebenslauf zugreifen sollte. Es war eine infizierte Excel-Datei, deren Schadcode man bewusst durch einen Mausklick aktivieren musste. Auf diesen Umstand wies der Bewerber aber klar in seinem Anschreiben hin. Wer hier leichtfertig geklickt hat, fand seine Daten wenig später in verschlüsselter Form auf der eigenen Festplatte wieder.
Für mich war eine solche Vorgehensweise schon sehr extrem. Hier wurden tatsächlich Stellenausschreibungen ausgewertet und die Personaler dann persönlich mit einem Virus versorgt. Kein Versand in Massen, wie man es bisher aus dem Alltag kannte.

Getoppt wurde das alles am heutigen Tag, als man mir einen gepolsterten Briefumschlag auf den Tisch legte. Darin enthalten ein Brief und ein USB-Stick.
Absender war angeblich „Schmitz, Schreiber & van Houten“. Eine „Kommunität für Steuerberatung“ aus Wesel. Als Absenderadresse ist die Sternstraße 19 in 46487 Wesel angegeben. Im Internet findet sich kein Hinweis auf ein Steuerberaterbüro mit dieser Adresse.

Zum Vergrößern anklicken!

Adressiert war das Schreiben an die Buchhaltung meines Arbeitgebers. Der Text im Anschreiben selbst ist sehr allgemein gehalten und zeigt keine personifizierten Informationen. Nur der Hinweis auf aktualisierte Rechnungen aus dem vergangenen Jahr, die man auf dem beiliegenden USB-Stick zusammengefasst hat, um uns die Arbeit zu erleichtern. Sehr freundlich. Vielen Dank.

Die Unterschrift unleserlich und nicht weiter beschrieben. Irgendjemand hat da unleserlich, aber persönlich unterschrieben. Es ist auf jeden Fall keine gedruckte Unterschrift.
Ach ja, der „Speicherstick“ sei virengeprüft. Also garantiert mit einem aktuellen Schadcode infiziert?
Hier wurde ich natürlich neugierig und meine Kollegen und ich rechneten natürlich schon damit, dass auf dem USB-Stick garantiert keine Rechnungen oder sonst eine sinnvolle Information gespeichert ist.
Ein alter Rechner, der hier als Opfer herhalten musste, bewies uns das dann auch recht schnell. Zur Sicherheit wurde er vom Netzwerk getrennt, bevor der Stick angeschlossen wurde.
Es befand sich eine Datei auf den Stick „Rechnungen berichtigt a4c4d3e9.zip.exe“ mit einer Größe von etwas mehr als 164MB.

Nach dem Start dieser Datei wurde ein Ordner „myDisk“ erzeugt und darin die Datei „drivers.exe“ angelegt. Erst das Starten dieser .exe-Datei führte dazu, dass die Ordner „Eigene Dokumente“ usw. nicht mehr nutzbar waren. „Zugriff verweigert“ – oder die Meldung, dass kein Datenträger im Laufwerk eingelegt sei. Verschlüsselt wurde nichts und es gab auch keine der bekannten Meldungen, Geld zu überweisen, um wieder Zugriff auf die Dateien zu erhalten. Ob und was hier im Hintergrund eventuell über das Netzwerk passiert wäre, kann ich aktuell noch nicht sagen. Es war der erste Test zu überprüfen, was der Stick alles für uns bereithält.

Es zeigt aber, dass der Versand von Viren eine ganz neue Qualität bekommen hat.
Weg vom massenhaften Versand per Download oder E-Mail und hin zu persönlichen Anschreiben und dem Versand per Briefpost inkl. Speichermedium. Hier geht der „Angreifer“ sogar finanziell in Vorleistung, um…. Ja, genau das ist hier noch die Frage. Was wollte der Absender in diesem Fall erreichen? Vielleicht finden wir es später noch heraus.

Abschließend kann ich nur jedem empfehlen, mit gesundem Misstrauen diese Post zu öffnen. Das gilt natürlich für jede Form von Post, egal ob sie über den altbekannten Postweg oder als E-Mail ankommt. Wer leichtgläubig Dateien öffnet, erlebt im schlimmsten Fall sein blaues Wunder.

2 Kommentare

  1. Axel

    Bodo, du hast natürlich recht, dass das ein gezielter Versuch war uns zu schaden.
    Ob und wie hier weiter ermittelt wird, überlasse ich dabei aber unserem Vorstand.
    Dennoch wundert es mich, dass dieser Versuch, der dem Versender Geld und Zeit gekostet hat, so diletantisch umgesetzt wurde. GoldenEye kam mit persönlicher Anrede und mit etlichen eigens dafür recherchierten Daten.
    Dieser Brief ging allgemein an die Buchhaltung und war auch sonst eher schlecht geschrieben. Die Datei auf dem Stick macht auch keinen „professionellen“ Eindruck.
    Dafür, dass der Absender hier wirklich Geld in die Hand nehmen musste, hat er das Ganze verdammt schlecht umgesetzt.

  2. Bodo Kirtz

    Tja, hier handelt es sich ja offensichtlich um einen gezielten Sabotageversuch. Hoffentlich habt ihr es sofort zur Anzeige gebracht. Anders als bei breit gestreuten Viren, die auf die Masse abzielen, handelt es sich hier um einen Angriff auf Eure Firma. Einfach nur kriminelle Erpressung oder sogar der Versuch einen Börsenkurs zu manipulieren?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Axel Schwenke

Theme von Anders NorénHoch ↑