Derzeit rollt eine neue Trojaner-Welle durchs Netz. Diesmal drohen die E-Mails, über die der Trojaner auf den Computer flattert, mit einer angeblichen Sperrung des E-Mail-Kontos des Empfängers binnen weniger Stunden:

Betreff: Die E-Mail Adresse xyz@heise.de wird gesperrt

Sehr geehrte Damen und Herren,

Ihre Email "xyz@heise.de" wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 98 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Betreff und Text tragen die Adresse des Empfängers; die Zahl der vorgeblichen Beschwerden variiert. Im Zip-Archiv im Anhang lauert die ausführbare Datei Sperrung.exe mit dem Schadprogramm. Die E-Mails sollten ungelesen gelöscht werden, denn zur Stunde sind die Virenscanner noch weitgehend machtlos. Nur wenige AV-Programme erkennen derzeit den Schädling: Sophos nennt ihn Mal/EncPk-GH, bei Microsoft heißt er je nach Mutation Win32/Emold.C oder Win32/Obfuscator.CT, bei FProt W32/Trojan3.MX.

Eine Analyse von heise Security hat ergeben, dass sich der Schädling als Default-Debugger für den Prozess Explorer.exe installiert, sodass er fortan auch nach einem Neustart aktiv wird. Diesen außergwöhnlichen Autostart-Mechanismus nutzte bereits der Abrechnungstrojaner, der vor recht genau einer Woche als vermeintliche Rechnungen, Inkassoeinzüge oder Abmahnungen in die Postfächer der Anwender flatterte.

Quelle: Heise.de