"Die Anzahlung ist erfolgt. Es wurden 6443 Euro Ihrem Konto zur Last geschrieben", so oder ähnlich lauten die ersten Sätze der Mails mit denen Spam-Versender seit der Nacht zum Freitag elektronische Postfächer überfluten. Die entsprechende Betreffzeilen sollen mit Themen wie "Lastschrift", "Abbuchung" oder "Amtsgericht Köln" zum Lesen animieren.

Die echte Gefahr aber lauert im Anhang dieser Mails. Eine meist als "Rechnung.zip" betitelte Datei enthalte angeblich eine Auflistung der Kosten, auf die sich der Absender bezieht. Doch die zu öffnen ist brandgefährlich, warnen Hersteller von Antivirensoftware. Statt der versprochenen Liste verbirgt sie einen Trojaner.

Wer diese versehentlich öffnet, löst nach Angaben der IT-Sicherheitsfirma G Data eine verheerende Folge von Ereignissen aus. Unbemerkt vom Anwender werde im Hintergrund die Datei "Zertifikat.ssl" aufgerufen und ausgeführt. Der genaue Mechanismus, wie das funktioniert, ist offenbar noch unklar. Einmal gestartet verbindet sich der von Avira als TR/Dldr.iBill.BD identifizierte Trojaner mit einem Server, identifiziert sich und lädt weitere Schadsoftware nach. Schließlich klinkt sich der Schädling in den Windows-Explorer ein, um Daten des infizierten Systems mitzulesen.