Neue Masche der Spam- und Trojaner-Versender: Man bekommt eine Mail in überraschend gutem Deutsch, die vor der Sperrung der E-Mail-Adresse warnt:

Sehr geehrte Damen und Herren,
Ihre Email „xx@yy.de“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 93 Beschwerden wegen Spamversand bei uns eingegangen.

Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Im Anhang befindet sich ein „Hinweis.zip“, den man natürlich nicht öffnen sollte. Im Archiv befindet sich eine „Hinweis.exe“. Ein Check des Archivs mit Kaspersky brachte bislang keine Warnung auf einen Trojaner. Es ist aber davon auszugehen, dass dies einer ist. Unter anderem wird die advapi32.dll geladen, die über ihre API-Schnittstelle womöglich Kontakt zu einer anderen Website aufnehmen soll.

Gesendet wurde die Mail über die IP 85.172.62.58. Diese gehört der Public Joint Stock Company „Southern Telecommunication Company“ in Krasnodar, Russland. Der Absender der Mail war hier akstcvremcomnsdgs@vremco.com, der einschlägig bekannt ist, auch Spam mit anderen Betreffzeilen zu verschicken.

Also: Vorsicht walten lassen und natürlich die .exe niemals ausführen.

Update 14.35 Uhr: Mittlerweile erkennt Kaspersky in der Datei einen Trojan-Downloader.Win32.Agent.aspn, also jene Form des Trojaners, der beliebig Dateien nachladen kann und etwa PINs und TANs ausspioniert. Infos auch hier.