Sehr geehrte Damen und Herren,

im Anhang finden Sie meine Bewerbung mit Anschreiben. Danke für Ihre Aufmerksamkeit.

Mit freundlichen Grüßen

Oh schön, jemand will sich bei mir bewerben – und schreibt nicht einmal seinen Namen oder eine Telefonnummer unter die E-Mail, ganz so, als wolle er gar keine Antwort… 😀

Nun gut, ich fasse mich kurz. An der Spam hängt ein ZIP-Archiv, und in diesem befindet sich eine Datei, deren Dateiname auf .pdf.exe endet. Es handelt sich dabei um eine ausführbare Datei für Microsoft Windows, deren Dateityp mit einem Dateinamenstrick und dem irreführenden Piktogramm eines PDF-Dokumentes verschleiert werden soll und die von irgendwelchen Unbekannten zugestellt wurde. Es ist also das reinste Gift für Windows.

Zurzeit wird der kriminelle Sondermüll nur von rd. 40 Prozent der gängigen Antivirus-Schlangenöle als solcher erkannt – immer noch scheint es den Programmierern so genannter Sicherheitssoftware für Microsoft Windows nicht möglich zu sein, auf den Dateinamenstrick aus den Neunziger Jahren mit einer schrillen Warnung zu reagieren, weil es ganz einfach keinen seriösen Grund dafür gibt, einen Menschen über den Typ einer Datei zu täuschen. Wer sich auf die „gefühlte Sicherheit“ durch dieses Schlangenöl verlassen hat, war wieder einmal in vielen Fällen verlassen – sehr ärgerlich, wenns dann einmal die Sekretärin eines kleineren mittelständischen Betriebes war, die sich im Vertrauen auf Schlangenöl-Software diese angebliche Bewerbung anschauen wollte und anschließend das Online-Banking des Unternehmens still zum Plündern und Betrügen übernommen wird, was zu monatelangem Ärger mit Banken und der Staatsanwaltschaft und in ganz harten Fallen zur Insolvenz führt…

Wer hingegen sofort skeptisch wird, wenn Unbekannte ein ZIP-Archiv an eine E-Mail gehängt haben und dieses Archiv deshalb nur noch mit der Kneifzange anfasst¹, kann sich zurzeit kaum eine Schadsoftware über E-Mail einfangen.

Ein ZIP als Anhang einer unverabredet zugesandten Mail ist generell ein Alarmzeichen. Spammer verpacken ihre Schadsoftware in ZIP-Archive, um den Virenscan auf einem Mailserver zu erschweren; und das funktioniert erstaunlich häufig, weil Archive nicht auf jedem Mailserver gründlich durch Auspacken und Prüfung jeder Einzeldatei behandelt werden, um eine sonst mögliche Denial-of-Service-Attacke durch eine ZIP-Bombe abzuwehren.

¹Die Kneifzange sieht so aus: zwei bis drei Tage warten, bis die Antivirus-Programme den möglicherweise sehr aktuellen Schädling kennen und dann das ZIP über VirusTotal von zurzeit 52 Antivirus-Programmen prüfen lassen. Und dieses Vorgehen gilt generell für Dateien in einem ZIP, selbst für PDFs und Office-Dokumente, die Sicherheitslücken ausnutzen oder Makro-Schadsoftware enthalten können.