Frankfurt, 14. August 2015

Statistische Daten für den E-Mail-Verkehr belegen, dass Cyber-Kriminelle ihre E-Mails regelmäßig mit gefährlichen Anhängen, die von Doctor Web als W97M.DownLoader bezeichnet werden, verschicken. Seit Anfang August ist die Zahl solcher E-Mail-Anhänge auf 1% der Gesamtzahl der per E-Mail verschickten Viren und Trojaner gestiegen. In diesem Artikel erfahren Sie mehr über einen gefährlichen Anhang aus der Familie W97M.DownLoader, welcher als W97M.DownLoader.507 bezeichnet wird.

W97M.DownLoader.507 ist eine MS-Word-Datei, die sich über E-Mail-Anhänge verbreitet. Das von unseren Sicherheitsanalysten entdeckte Exemplar tarnte sich als Fax-Nachricht, die per E-Mail versendet wurde. Bei der Erstellung der Meldung machten die Übeltäter aber einen Fehler mit dem Datum.

Die Datei selbst soll durch RSA verschlüsselt sein. Um den Inhalt der Nachricht lesen zu können, wird das anvisierte Opfer aufgefordert, Makros in der Word-Datei zu aktivieren.

Das Dokument enthält eine leere Seite, die tatsächlich jedoch nicht leer, sondern in weißer Farbe geschrieben ist. Sobald der Nutzer Makros aktiviert hat, wird diese Seite sichtbar.

Nachdem Makros aktiviert wurden, wird dem Benutzer der ganze Text angezeigt. Währenddessen lädt der Schädling Code-Fragmente aus dem Remote-Server auf Ihren Computer herunter, generiert aus diesen Dateien in Abhängigkeit von der Windows-Version Skripte mit .bat, .vbs oder .ps1 Erweiterungen, speichert diese auf der Festplatte ab und führt sie aus. Die Skripte wiederum laden eine ausführbare Datei vom Server der Übeltäter und führen diese aus. In unserem Fall wurde W97M.DownLoader.507 verwendet, um den gefährlichen Bankentrojaner Trojan.Dyre.553 auf den infizierten Computer zu spielen.

Die Sicherheitsspezialisten von Doctor Web möchten alle Anwender auf den Schädling aufmerksam machen und raten zu höchster Vorsicht. Bitte öffnen Sie keine E-Mails mit MS-Word-Anhängen von unbekannten Absendern. Prüfen Sie die Anhänge auf Malware und unterlassen Sie die Aktivierung von Makros.