Mail-Anhang: Neue Variante des ZeuS-Trojaners im Umlauf

Bonn, 30.06.2011/ Update 01.07.2011

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass derzeit in großem Umfang Spam-Mails zur Verbreitung einer neuen Variante des Online-Banking-Trojaners "ZeuS" versendet werden.


Die in nahezu fehlerfreiem Deutsch verfassten E-Mails sollen den Empfänger dazu verleiten, einen in der E-Mail enthaltenen Link anzuklicken. Über den Link wird eine Datei mit Namen "Konto055.zip" aus dem Internet heruntergeladen, welche den ZeuS-Trojaner enthält.

Die Betreffzeilen der Spam-Mails lauten unter anderem:

• "Werkzeuge 425-736",
• "Die Zahlung 785-774" oder einfach nur
• "Antwort".

Der Mailtext beginnt beispielsweise mit Formulierungen wie:

• "Die Antwort auf Ihre Frage uber das Profil finden Sie auf unserer Webseite",
• "Der Gesetzentwurf muss bis zur nachsten Woche bezahlt werden" oder
• "Anbei senden wir Ihnen die Lizenzschlussel und die entsprechenden Downloadlinks fur folgende Produkte".

Die neue Schadprogramm-Variante wird derzeit erst von sehr wenigen Virenschutzprogrammen erkannt. Das BSI empfiehlt daher, derartige E-Mails umgehend zu löschen und keinesfalls den darin angegeben Link anzuklicken bzw. die heruntergeladene Datei "Konto055.zip" zu öffnen.

Update: 01.07.2011
Das BSI beobachtet derzeit eine weitere Spam-Welle mit Texten wie

• "Vielen Dank fur die lange erwartete Fotos".

Der in diesen Spam-Mails enthaltene Link verweist auf eine Datei "UploadDocIndex30.zip". Diese ZIP-Datei enthält einen identischen ZeuS-Trojaner, welcher lediglich geringfügig modifiziert wurde, um eine Erkennung durch Virenschutzprogramme erneut zu verhindern.