Das Internet Storm Center warnt vor dem Trojaner Ursnif, der sich derzeit verstärkt per (Geschäfts)-Mail verbreitet. Die deutschsprachigen Mails sind an Empfänger in Deutschland gerichtet. Die Mails tarnen sich als Antwortschreiben auf einen vorangegangenen Mailwechsel, beispielsweise indem sie sich als Auftragsbestätigung ausgeben. Entscheidend ist, dass in den Mails die Aufforderung steht das an die Mail angehängte verschlüsselte ZIP-Archiv zu öffnen. Das zum Entschlüsseln erforderliche Passwort steht im Mailtext.
In dem entpackten ZIP-Archiv befindet sich eine Worddatei, die anscheinend immer „info_01_21.doc“ heißt. Öffnet der Empfänger diese, so startet das darin enthaltene Word-Makro den Trojaner Ursnif. Vorausgesetzt, dass in Word das automatische Ausführen von Makros zugelassen ist (standardmäßig ist das unterbunden). In dem Worddokument steht denn auch die Aufforderung das Ausführen von Makros zu erlauben.
Der Trojaner Ursnif stiehlt auf dem infizierten Rechner unter anderem Benutzernamen, Kennwörter und persönliche Daten aus Webformularen und lädt weitere Schadsoftware nach. Außerdem kann er als Keylogger Tastatureingaben abfangen und auch Screenshots erstellen. Alle erbeuteten Daten verschickt er an einen Command-and-Control-Server.
Zu Ursnif finden Sie hier bei Kaspersky ausführliche Informationen.
Quelle: Ursnif: Gefährlicher Trojaner verbreitet sich als Word-Datei im ZIP-Archiv - PC-WELT