Fax von 04589016238 ist Malware
Alexander Trust, den 13. November 2013Wer angeblich eine E-Mail von der FRITZ!Box bekommen haben soll, mit dem Inhalt „Fax von 04589016238“, der sollte äußerst vorsichtig sein. Beim Anhang der E-Mail handelt es sich um Malware.
Am 12. November wurden vermehrt E-Mails im Umlauf beobachtet, deren einziges Ziel die Verbreitung von Malware zum Ziel hat. Dabei wurden die E-Mails mit einem sehr vertrauten Betreff ausgestattet. Nutzer sollten denken, ihre Fritz!Box hätte ihnen per E-Mail ein eingegangenes Fax weitergeleitet.
Doch an dieser Stelle sollte man bereits den ersten Fehler bemerken. Denn echte Fax-Weiterleitungen erfolgen als PDF und nicht in Form von ZIP-Archiven, die man erst noch entpacken muss.
pt5203-345@online.de
Zudem ist der Absender in diesem Fall auf den ersten Blick eine E-Mail-Adresse, die der Topleveldomain online.de zuzuordnen ist und ersten Meldungen zufolge immer von der Adresse pt5203-345@online.de stammen sollen.
Die Ansicht der vollständigen Kopfdaten der E-Mail liefert weitere Hinweise auf eine unsichere Quelle. Die meisten Anwender haben diese Ansicht aber nicht eingerichtet, geschweige denn wissen sie, wie man sie einstellt. Entsprechend reicht es aber in diesem Fall schon aus zu wissen, dass die E-Mail-Absenderadresse nicht diejenige ist, die man in der Fritz!Box gespeichert hat. Denn normalerweise erhält man Fax-Benachrichtigungen durch die Fritz!Box nur von einer E-Mail, die man selbst in den Einstellungen hinterlegt hat.
Windows-Nutzer besonders gefährdet
Manche Nutzer sind nicht skeptisch genug, und klicken trotz vermeintlicher Signale und Indizien auf eine unsichere Quelle auf die Inhalte der E-Mail. In diesem Fall sollten besonders Windows-Nutzer besonders vorsichtig sein, und falls sie die Datei entpackt haben umgehend entsprechende Viren- und Malware-Scanner das System prüfen lassen. Denn das Zip-Archiv entpackt sich in einer gleichnamige EXE-Datei, die unter Windows (und DOS) Schaden anrichten könnte.
Gamarue
Laut dem Trojaner-Board handelt es sich bei der Datei um die Malware namens Gamarue. Diese kontaktiert bei vorhandener Internetverbindung gleich drei unterschiedliche Server und Scripte. Laut der Meldung soll Gamarue FTP- und andere Passwörter stehlen.