Wie G DATA heute berichtet, so ist die nächste Welle an Spam im Internet unterwegs. Nachdem letzte Woche nun der PDF-Spam deutlich im Trend der Spammer lag, so ist es heute Spam mit dem Format Microsoft Excel.
Nach Erkenntnisse der G DATA Security Labs sind Image-Spam momentan stark rückläufig
ist. Die Versender setzen vielmehr auf PDF-Spam und seit kurzem auf XLS. Das
Ziel der Spam-Mafia ist eindeutig: Nach wie vor gilt es die Spamfilter zu unterlaufen,
indem die Werbebotschaft in ein unauffälliges Format verpackt wird. Anwender
klassischer Filtermechanismen dürften bei diesem Vorgehen oftmals das Nachsehen
haben.
Spammer und Malwareversender gehören oft zur gleichen CyberGang. Es ist
daher zu erwarten, dass in absehbarer Zeit auch Schadfunktionen integriert und
ausgeführt werden. Dies gab es bereits in Form von Image-Spam mit Links
auf Webseiten mit Drive-By-Downloads. Excel-Spam könnte beides vereinen.
+ Verlauf der Spam-Welle
G DATA Security verzeichnete am Freitag vergangener Woche einen deutlichen Anstieg
an Spam mit XLS-Dateien. Bis Samstag (21.07.2007) wurden XLS-Dateien mit Namen
wie "investor news-12345.xls", "news-12345.xls" oder "news12345.xls"
verschickt. Seit Samstagabend erfolgt der Versand der XLS-Dateien als ZIP-Archiv.
Die Dateinamen darin bestehen nur noch aus Zahlenfolgen.xls, die ZIP Dateien
heißen dann z.B. "detail invoice12345.zip" oder "detail
report12345.zip".
+ Grund für den Umstieg auf XLS-Spam
Der entscheidende Grund, warum die Spammer auf XLS umsteigen, ist möglicherweise,
dass XLS-Dateien viel kleiner sind als PDF Dateien, insbesondere, wenn sie gepackt
sind. Hierdurch sind Spammer in der Lage im gleichen Zeitraum ca. 4 Mal so viel
Spam zu versenden.
Vergleich der Dateigrößen:
- PDFs der letzten Welle von PDF-Spam waren durchschnittlich 67 KB groß.
- Die XLS-Dateien sind in der Regel nur 32 KB. Die seit Samstag verschickten
ZIP-Dateien lediglich eine Größe von 8 KB.
+ Infektionsgefahr inklusive
Bisher beinhalteten die aufgelaufenen XLS-Spam noch keinen Schadcode. Das Format
kann jedoch Makroviren enthalten. Dies ist jedoch eher als unwahrscheinlich.
Rechner, die nicht über die aktuellsten Windows- und Office-Patches verfügen,
könnten jedoch durch eine Sicherheitslücke von Cyberkriminellen übernommen
werden. G DATA Security rät daher die erhaltenen Dateien ungeöffnet
zu löschen.
+ OutbreakShield
Anwender von G DATA Security-Lösungen sind dank der G DATA OutbreakShield-Technologie
nicht gefährdet. OutbreakShield unterscheidet erwünschte Mails von
Spam-Mails ausschließlich anhand des Verbreitungsmusters und ist somit
bereits nach Sekunden in der Lage neue Spam-Wellen zu erkennen und zu blockieren.
Dabei ist die Art des Mail-Attachments unerheblich.
