Forum Bauen und Umwelt - Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef. → razboltal.exe https://bauforum.wirklichewelt.de/ Das Bauforum de Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef. → razboltal.exe Gerade kam hier wieder eine Microsoft-Word-Datei herein, die von den meisten Virenscannern nicht als Bedrohung erkannt wird. Absender ist angeblich eine IP-Adresse in Indien, der offensichtlich gefälschte Text gibt vor, dass es sich um eine Rechnung einer Metallhandel-GmbH aus Köln handele.

Im Anhang befindet sich eine Datei im Microsoft-Office-Word-Format mit dem Dateinamen 31074445.DOC, die einen recht interessanten Inhalt hat.

[image]

Der Quelltext des in die Microsoft-Office-Word-Datei eingebetteten Visual-Basic-for-Applications-Programms (aka VBA-Makro) sieht auf den ersten Blick aus, als stamme er aus einem First-Person-Shooter. Da ist die Rede von Weapons, Inventar, Victims und Attackern. Putzig ist die Zeile
User_UseInvItem5 = User_UseInvItem5 + raz + dva
Raz und Dva sind Variablennamen, es handelt sich dabei um die russischen Wörter für Eins und Zwei. Die beiden Variablen sind mit "." und "exe" belegt. Allem Anschein nach bastelt unser vorgeblicher FPS gerade eine ausführbare Windowsdatei zusammen. Und die soll ganz offensichtlich als Programmdatei "razboltal.exe" im "TEMP"-Verzeichnis von Windows erzeugt werden, in dem Benutzer Schreib- und Ausführungsrechte haben:
User_UseInvItem4 = User_UseInvItem3(UCase(StrReverse("pmet")))
„Razboltal“ ist ebenfalls ein russisches Wort (разбо>та>). Es bedeutet laut Google Translate soviel wie „ausgeplaudert“.

Ceterum censeo: Word-Mailanhänge sind zu vernichten.
[image][image]
Bild: Julius Adam, Zwei Kätzchen im Korb mit blauem Tuch
Bildrechte: Public Domain, Wikimedia Commons

]]> https://bauforum.wirklichewelt.de/index.php?id=11319 https://bauforum.wirklichewelt.de/index.php?id=11319 Thu, 17 Dec 2015 15:36:46 +0000 SoftwareMartin Vogel