DHL DE Handlungsbedarf (ID 0041675)
Am Donnerstag, den 12. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
Hallo,
Ihre Ihr Paket hat eine Ausnahme erfahren und ist an das DHL.DE zuruckgegeben.Tracking Nummer: DE191112486
Grund: Nicht lieferbar.
Gewicht: 2.42 kg(s).
Service: International Express Post (Pakete)
Zusatzliche Details uber Ihre Sendung wird zu beigefugt.
Zur Abholung das Paket drucken Sie bitte die beiliegende Rechnung aus und besuchen Sie Ihre lokale Postfiliale.
Hinweis: Sie werden moglicherweise aufgefordert, einen gultigen Lichtbildausweis zu zeigen.
Danke.
DHL.DE Warnung Center.Kommunikation Nummer: AP0097689386
Die E-Mail mit dem Betreff „DHL DE Handlungsbedarf (ID 0041675)“ stammt angeblich von DHL DE, wobei eine andere E-Mail-Adresse verwendet wurde. Obwohl es angeblich ein Paket sein soll, sind als Empfänger gleichzeitig 18 Empfänger eingetragen (vermutlich je nach Vornamen mehr oder weniger, da alle anderen Empfänger den gleichen Vornamen tragen).
Als Anlage ist ein .zip-Archiv beigefügt, welches ebenfalls eine .zip-Datei enthält. Darin ist dann ein JavaScript enthalten,
> Zusatzinformation_4341071661.zip
—> DHL DE Mitteilung Center.zip
——> DHL DE Mitteilung Center.jse
welches eine .exe-Datei von der Domain biyouseikatsu.com nachlädt. Achtung: Es handelt sich dabei um ein Trojanisches Pferd, was u. a. alle Seitenaufrufe im Browser protokolliert und an Dritte übermittelt, dazu gehören natürlich auch die verwendeten Passwörter der besuchten Seiten. Virustotal zeigt eine Erkennungsrate von 12/56.
Ich Dummerchen habe die zip angeklickt, die weiteren Dateien aber sofort gelöscht. Habe einen Mac und habe gleich meinen Virenscanner Avast laufen lassen, ganz frisch aktualisiert. Dieser sagt mir 0 Infizierungen. Kann ich meinen Computer trotzdem infiziert haben
Wenn in diesem Fall nur die erste ZIP-Datei geöffnet wurde, dann dürfte noch nichts passiert sein (hier hätte ja zunächst die zweite ZIP-Datei und danach noch das JavaScript geöffnet werden müssen).
Die meisten Trojaner sind auch eher auf Windows ausgelegt. Allerdings lassen sich Trojanische Pferde nach einer Infektion von Windows so gut wie nicht mehr finden. Leider vertrauen die meisten Anwender dem Suchergebnis der Virenscanner. Ein echtes Suchergebnis kann meiner Meinung nur eine Boot-CD mit Virenscanner bringen.
Besser ist es, in E-Mails generell keine Links anzuklicken und auch keine Anlagen zu öffnen.
Guten Tag Herr Brück,
können Sie mir bitte die Vorgehensweise beschreiben, wie ich feststellen kann, ob sich der o.g. Trojaner auf meinem System installiert hat und wie ich ihn wieder herunter bekomme. Vermutlich wurde die .jse Datei geöffnet.
Als Virenscanner nutze ich Avira Free Antivir. Reicht das aus, um den Trojaner zu erkennen?
Vielen Dank für Ihre Hilfe,
Manuel