Über täuschend echt nachgemachte Rechnungen der Telekom verbreiten derzeit Unbekannte speziell präparierte PDF-Dateien, die Windows-Systeme infizieren können. Die Mail unterscheidet sich nur in Details von einer echten Telekom-Abrechnung.

Doch wer die angehängte PDF-Datei öffnet, riskiert, sein System mit Spionage-Software zu infizieren. Die angebliche Rechnung nutzt Schwachstellen im Adobe Reader aus, um Schad-Software aus dem Internet nachzuladen und zu installieren. Eine Analyse zeigt, was es mit der angeblichen Rechnung auf sich hat. Der Absender scheint korrekt, die Sprache ist fehlerfrei. selbst der Gruß des Leiters des Kundenservices zum Abschluss stimmt.

Der beste Hinweis auf ein Fake ist die fehlende persönliche Ansprache: Statt "Guten Tag Herr Schmidt" heißt es nur allgemein "Sehr geehrte Damen und Herren", was bei Rechnungen eher ungewöhnlich ist.

Der bei einer Schnellanalyse gefundene Exploit beruht auf einer Sicherheitslücke, die Adobe bereits 2010 geschlossen hat. Es ist aber nicht auszuschließen, dass die Trojaner-Autoren auch neuere Tricks im Repertoire haben. Der Exploit lädt von mehreren URLs Programme nach und startet diese. Sie modifizieren dann diverse Systemeinstellungen, setzen sich dabei im System fest, lesen das Adressbuch aus und kontaktieren einen Command und Control Server – legen also typisches Botnetz-Client-Verhalten an den Tag.
Antiviren-Software tut sich schwer, den Anwender zu schützen: Laut Virustotal erkennen gerade mal 8 von 41 Scannern den PDF-Exploit als solchen; verbreitete AV-Programme wie Avira, AVG, Kaspersky und Symantec gehören nicht dazu.

Sollten Sie Beratungsbedarf zu Antiviren- und Firewall-Lösungen haben oder die Einführung einer entsprechenden Lösung planen, steht Ihnen kzm, Ihr Experte für Software und Systeme, bei der Planung und Umsetzung gerne zur Verfügung.