Rechnungsnummer: PDR8998 (Rechnung im Anhang), Angebot QAG-612576, Informationen, 2017 #0891#, Scan und vermutlich viele Betreffzeilen mehr bringen einen Link auf ein Word-Dokument (Trojanisches Pferd ‚Emotet‘)

Am Montag, den 16. Oktober 2017 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Die E-Mail stammt nicht von dem genannten Absender! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: 2017 #0891#
Absender: Divya Mukkawar ([email protected])

Guten Abend,

bitte unterschreiben und per Mail an mich zurücksenden.

http://fakeworks.com/Ihre-Online-Rechnung-4932553-vom-16.10.2017/

 

Herzliche Grüße,
Motorradhaus-Schreiber-Honda-Zeven

Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von dem genannten Absender! Klicken Sie nicht auf den Link!

Hier weitere Beispiele:

Betreff: Rechnungsnummer: PDR8998 (Rechnung im Anhang)
Absender: Mario Orda ([email protected])

Guten Tag,

Im Anhang dieser E-Mail erhalten Sie die Rechnung für Ihre Bestellung PDR8998-3915198.

http://fakeworks.com/Ihre-Online-Rechnung-4932553-vom-16.10.2017/

 

Herzliche Grüße,
Wohnheim Panschwitz-Kuckau

oder

Betreff: Informationen
Absender: [email protected] (insynergie.de 

[email protected])

Guten Morgen (Vorname Nachname),

anbei die gewünschten Dokumente.

http://helemaalkim.com/blocks/webshopitem/Rechnung/

Viele Grüße

[email protected]

oder

Betreff: Angebot QAG-612576
Absender: [email protected] ([email protected])

Hallo,

Als Anhang erhalten Sie Ihre Rechnung.

http://helemaalkim.com/blocks/webshopitem/Rechnung/

Mit freundlichen Grüße,

[email protected]

oder

Betreff: Scan
Absender: [email protected] ([email protected])

Guten Abend,

im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.

http://sightinc.com/Ihre-Bestellung-wurde-versendet-75871415/

Mit freundlichen Grüße

[email protected]

Der Link in der E-Mail verweist auf die Adressen

  • fakeworks.com/Ihre-Online-Rechnung-4932553-vom-16.10.2017/
  • helemaalkim.com/blocks/webshopitem/Rechnung/
  • sightinc.com/Ihre-Bestellung-wurde-versendet-75871415/

Von der Adresse wird eine Microsoft Word – Datei wie z. B.

Ihre-Bestellung-wurde-versendet-71937.doc

0552865-69199-Neuer-RV.doc

geladen. Öffnen Sie nicht die Datei! Die .doc-Dateien enthalten ein bösartiges Makro! Die Microsoft Word – Dateien würden so aussehen:

Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren

Office

This document is protected

1 Open the document in Microsoft Office. Previewing online is not available for protected documents
2 If this document was downloaded from your email, please click Enable Editing from the yellow bar above.
3 Once you have enabled editing, please click Enable Content from the yellow bar above.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

 

Das bösartige Makro würde von der Domain jumbosystem.it/MsQfbgi/ eine Datei laden.

Nach der Ausführung legt sich das Programm in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 14/67! Führen Sie das Programm daher nicht aus!

Nach der Infektion nimmt das Programm sowohl mit den IP-Adressen

  • 104.130.169.84:8080

Kontakt auf. Auch wenn die Adressen einen Error 404 liefern, dieser dient dem Trojaner zur Kommunikation.

Kommentar(e)

8 Kommentare

  • Ich hab das Email bekommen und habe geöffnet. Was soll jetzt machen ????

    • Sebastian Brück

      Hast Du nur den Link angeklickt und das Word-Dokument geladen oder auch das Word-Dokument geöffnet?

      Führt Dein Word die Makros automatisch aus oder hast Du das Makro aktiviert?

      Du könntest ggf. In der Registry schauen, ob es einen entsprechenden Eintrag gibt (wie im Screenshot in der Warnung).

      Wenn Dein Rechner infiziert ist, würde ich zur Sicherheit immer eine Formatierung (ggf. vorher Daten sichern) empfehlen (und danach wieder alles, vom Betriebssystem an, neu aufspielen). Du könntest zwar versuchen, den Registry-Eintrag und die Datei zu löschen, der Trojaner könnte aber auch woanders noch stecken oder sich (weil er ja gerade ausgeführt wird) sofort wieder neu speichern. Vermutlich wirst Du keine Boot-Cd mit Virenscanner haben, sonst könntest Du auch soetwas probieren.

      Viele Grüße

      Sebastian Brück

      • Ich habe beim Registry Editor der Name windowagent.exe gesucht und habe keine Datei mit diesem Name gefunden. Könnte sein, dass das Rechner nicht infiziert ist oder könnte der Register sich verstecken?

        • Sebastian Brück

          Hast Du das Word-Dokument denn überhaupt aufgemacht? Hast Du oben den gelben Hinweis mit dem Bearbeitung aktivieren gesehen und das Makro ausgeführt?

          • Habe word aufgemacht und oben den gelben Hinweis mit dem Bearbeitung aktivieren gesehen und das Makro ausgeführt. Habe auch keine windowagent.exe in registry. Avira hat keinen Virus gefundet

          • Sebastian Brück

            Hallo,

            dann gehe ich davon aus, dass Dein Computer infiziert ist. Es kann bei Trojanern zwar immer auch Fehler geben, die eine Infektion verhindern. Ich habe eben nochmal diverse Links (Word-Dokumente) durchprobiert, die haben alle aus der gleichen Quelle die bösartige Datei geladen. Die war noch vorhanden und hat meinen Rechner infiziert.

            Sobald Dein Rechner infiziert ist, würde ich unter Windows keinen Virenscanner mehr auf die Suche schicken (höchstens, wenn Du den Rechner mit einer Boot-CD mit einem anderen Betriebssystem startest und dann einen Virenscanner laufen lässt). In den meisten Fällen ist der Virenscanner nach dem Start des installierten Betriebssystem (Windows) machtlos und das Risiko ist einfach zu groß, dass der Rechner dann immer noch infiziert ist.

            Kennst Du das Programm „Hijackthis“? Vielleicht hilft dessen Logfile noch bei der Suche.

            Viele Grüße,

            Sebastian Brück

  • Die Mail wurde in meinen Namen verschickt. Was kann ich tun? Hab ich irgendwo den Virus auf dem PC oder wie macht der das?

    • Sebastian Brück

      Hallo Chris,

      es ist noch nicht eindeutig, woher die Täter die Beziehung zwischen Absender und Empfänger haben. Ich würde im Moment darauf tippen, dass die Täter zumindest zeitweise einen Zugriff auf das E-Mail-Postfach eines der beiden Beteiligten hatten. Aus dem Grund könntest Du zumindest das Passwort ändern.

      Ob dieser Zugriff nur durch Phishing-/Brute-Force-Maßnahmen oder durch Trojaner möglich war, kann ich Dir nicht beantworten.

      Ich behaupte, dass Du keine echte Möglichkeit hast, Deinen Rechner zu prüfen. Sobald Du Windows startest, brauchst Du Deinen Virenscanner nicht mehr zu fragen. Eine Boot-CD mit Virenscanner hast Du vermutlich nicht. verhält sich der Rechner denn ungewöhnlich/langsam. Gibt es Abstürze, die Du nicht erklären kannst? Sind in der Registry (unter Run) ungewöhnliche Einträge, die Du nicht zuordnen kannst?

      Im Zweifel würde ich den Rechner Platt machen und neu bespielen.

      Viele Grüße

      Sebastian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.