Von mir an mich
Zahlenmails zum Testen von Email-Accounts
Ursache ist meist ein Missgeschick, ein zu schneller, falscher Klick – und die Email, die man gerade per Mausklick auf die Reise geschickt hat, geht prompt an die eigene Adresse. Die Mails, die in der letzten Woche gehäuft auftauchten und scheinbar vom eigenen Mail-Account an den Inhaber desselben geschickt wurden, beruhten jedoch nicht auf einem Missgeschick. Die Absenderangaben waren gefälscht. Nachrichtentexte und Betreffzeilen enthielten jeweils nur bedeutungslose, mehrstellige Ziffern. Die Mails wurden ausgeschickt, um die betroffenen Mail-Accounts auf Aktualität zu testen. Das meint die US-Antivirenfirma Symantec herausgefunden zu haben. Doch damit nicht genug.
Eine kriminelle Familie
Wie kommen die Mailverbreiter an die Adressen? Auch hierfür hat Symantec eine Antwort. Schuld sei ein Trojanisches Pferd namens Bagle.FC, im Grunde ein alter Bekannter, der erstmalig am 18. Januar 2004 im Netz entdeckt wurde. Seine damaligen Urheber sind bis heute nicht bekannt. Ob sie auch hinter der neuen Bagle-Variante stecken, ist ebenfalls nicht geklärt. Bagle gehörte zusammen mit dem Wurmprogramm MyDoom zu den ersten Schadprogrammen mit eindeutig kriminellem Hintergrund. Anders als Programme wie NetSky, Sasser oder Sober scheuen Bagle-Schädlinge grundsätzlich das Licht der Öffentlichkeit. Sie wollen keine Aufmerksamkeit erregen und nisten sich heimlich im PC ihres Opfers ein. Denn nur, wenn diese Schadprogramme unentdeckt bleiben, können sie für kriminelle Zwecke wie Spamversand oder DDoS-Attacken missbraucht werden.
Kein „abuse“
Bagle.FC kommt per Email in die PCs seiner Opfer. Dort entfaltet er hektische Aktivitäten. Er trägt sich in die Windows-Registrierung ein und sorgt damit dafür, dass er bei jedem Systemstart mitgestartet wird. Außerdem deaktiviert er vorhandene Sicherheitssoftware. Das ist auch nötig, denn Bagle.FC möchte so lange wie möglich unerkannt arbeiten. Hat er sich ein „passables“ Umfeld geschaffen, beginnt er mit seiner eigentlichen Arbeit und durchsucht den befallenen PC nach Emailadressen. Dabei erweist er sich als durchaus wählerisch. Nicht jede Adresse stößt bei Bagle.FC auf Interesse. Emailadressen, die beispielsweise das Wort abuse enthalten, werden schnöde ignoriert.
Wie Bagle.FC arbeitet
Die gesammelten Adressen werden vom Trojaner Bagle anschließend an einen bestimmten Webserver geschickt, der von seinen Urhebern kontrolliert wird. Damit hat Bagle.FC seine Arbeit allerdings noch nicht erledigt. Der Trojaner ist so programmiert, dass er von einer Vielzahl von Webdomains Files herunterlädt. Diese Files wurden von seinen Urhebern dort deponiert und enthalten Emailadressen, die andere Bagle.FC-Schadprogramme auf anderen Rechnern gesammelt haben. Bagle.FC hat nun die Aufgabe, die in den Files enthaltenen Adressen zu testen. Er verschickt an jeden Account eine Mail, deren Absender gefälscht ist und mit dem Empfänger identisch ist. Betreffzeilen und Nachrichtentexte enthalten lediglich die bekannten ominösen Zahlen – im Betreff 455, 557, 56757, 586876 oder 1545453 und im Nachrichtentext die beiden Zahlen 5556 oder 969. Ziel ist es zu testen, ob die fraglichen Mail-Accounts aktiv und für den Spamversand nutzbar sind. Nach getaner Arbeit zerstört sich Bagle.FC übrigens selbst – ebenfalls ein Charakteristikum, das alle Bagle-Schadprogramme auszeichnet (für mehr Informationen zu Bagle & Co. siehe Angriffe aus dem Netz).
Zurück zur News-Übersicht
