Neue Spam-Welle setzt auf Excel-Format

XLS-Dateien sind viel kleiner als PDF Dateien - Bisher beinhalteten die aufgelaufenen XLS-Spam noch keinen Schadcode

(30.07.07) - Die Reihe immer neuer Maschen, mit denen Spammer versuchen ihre Botschaft an den Mann zu bringen, reißt nicht ab. Nachdem ein deutlich erhöhtes Spam-Aufkommen mit PDF-Attachments zu beobachten war, zeichnet sich nun eine Trendwende ab. Nach Erkenntnissen der G Data Security Labs sind Image-Spam momentan stark rückläufig. Die Versender setzen vielmehr auf PDF-Spam und seit kurzem auf XLS.

Das Ziel der Spam-Mafia ist eindeutig: Nach wie vor gilt es die Spam-Filter zu unterlaufen, indem die Werbebotschaft in ein unauffälliges Format verpackt wird. Anwender klassischer Filtermecha-nismen dürften bei diesem Vorgehen oftmals das Nachsehen haben.

Spammer und Malware-Versender gehören oft zur gleichen CyberGang. Es ist daher zu erwarten, dass in absehbarer Zeit auch Schadfunktionen integriert und ausgeführt werden. Dies gab es bereits in Form von Image-Spam mit Links auf Webseiten mit Drive-By-Downloads. Excel-Spam könnte beides vereinen.

G Data Security verzeichnete einen deutlichen Anstieg an Spam mit XLS-Dateien. Teilweise wurden XLS-Dateien mit Namen wie "investor news-12345.xls", "news-12345.xls" oder "news12345.xls" verschickt. Später erfolgte der Versand der XLS-Dateien als ZIP-Archiv. Die Dateinamen darin bestehen nur noch aus Zahlenfolgen.xls, die ZIP Dateien heißen dann z.B. "detail invoice12345.zip" oder "detail report12345.zip".

Der entscheidende Grund, warum die Spammer auf XLS umsteigen, ist möglicherweise, dass XLS-Dateien viel kleiner sind als PDF Dateien, insbesondere, wenn sie gepackt sind. Hierdurch sind Spammer in der Lage im gleichen Zeitraum viermal so viel Spam zu versenden.

Bisher beinhalteten die aufgelaufenen XLS-Spam noch keinen Schadcode. Das Format kann jedoch Makroviren enthalten. Dies ist jedoch eher als unwahrscheinlich. Rechner, die nicht über die aktuellsten Windows- und Office-Patches verfügen, könnten jedoch durch eine Sicherheitslücke von Cyberkriminellen übernommen werden. G Data Security rät daher die erhaltenen Dateien ungeöffnet zu löschen. (G Data: ra)