Ihr DHL Paket kommt am Dienstag, 14:00-19:00 Uhr. von DHL Fachteam ([email protected]) bringt das Trojanische Pferd ‚Emotet‘

Am Dienstag, den 07. November 2017 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mail stammt nicht von DHL! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: Ihr DHL Paket kommt am Dienstag, 14:00-19:00 Uhr.
Abender: DHL Fachteam ([email protected])

Guten Tag, (Vorname Nachname)
der Zustelltermin für Ihr Paket hat sich auf Dienstag, 14:00-19:00 Uhr geändert.
http://nolp.dhl.com.de/paket.action&email=(E-Mail-Adresse).

Bitte beachten Sie, dass es einige Stunden dauern kann, bis die Informationen zu Ihrem Paket zur Verfügung stehen.

ALLE INFORMATIONEN AUF EINEN BLICK:

Paket von:
Amazonde

Sendungsnummer:
256592726162790

Voraussichtliches Zustelldatum:
Dienstag, 07.November
14:00-19:00 Uhr

Zustellort:
Ihre gewünschte Lieferadresse

Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von DHL! Der Link führt auch nicht auf dhl.de! Klicken Sie nicht auf den Link!

Der Link in der E-Mail verweist auf die Adresse

  • msitrading.org/DHL-number/

Von der Adresse wird eine Microsoft Word – Datei geladen:

DHL number – Dienstag, 15_00-17_00 Uhr.doc

Wie das Word-Dokument aussieht, sehen Sie in der Warnung „Ihr DHL Paket kommt am Montag, 14:00-18:00 Uhr. von DHL Express ([email protected]) bringt das Trojanische Pferd ‚Emotet'“ vom Vortag.

Kommentar(e)

5 Kommentare

  • Hallo,
    ich habe die Word datei leider geöffnet, da ich wirklich ein paket erwartet habe. Von Avira wurde die .exe datei mit der nummer dann entfernt. Bin ich jetzt sicher? Bisher funktioniert alles normal und ich habe auch schon mehrere Virenscanner laufen lassen. Was kann ich tun um sicherzugehen dass der Trojaner nicht aktiv ist? Danke

    • Sebastian Brück

      Hallo,

      das Word-Dokument hätte ja die .exe-Datei nachgeladen und ausgeführt. Sollte Dein Virenscanner die .exe-Datei entfernt haben, bevor sie ausgeführt werden konnte, dann solltest Du sicher sein. Da Dein Rechner die .exe-Datei aber geladen hat kann man aber nicht ausschließen, dass sie schon aktiv wurde, bevor der Virenscanner sie entfernt hat.

      Wenn die Datei ausgeführt wird, dann wird ein Registry-Eintrag vorgenommen und die Datei kopiert sich nach %AppData%/Local/Microsoft/Windows. Befindet sich auf Deinem Rechner eine .exe-Datei in dem Verzeichnis? Der Name ist auf den PCs unterschiedlich. Meines Wissens sollte es in dem Verzeichnis zwar Dateien und Unterverzeichnisse, aber keine ausführbare Datei geben. Außerdem könntest Du in die Registry schauen, ob dort ein Verweis auf das Verzeichnis vorhanden ist (siehe z. B. in dieser Warnung).

      Viele Grüße,

      Sebastian Brück

      • Hallo Herr Brück,

        weder im obigen Ordner ist eine .exe Datei noch ist in der Registry ein Verweis darauf zu finden. Ich geh damit davon aus dass alles passt. Wenn Sie noch weitere Tipps haben bitte melden. Danke für die Hilfe!

        MfG
        Bastian

      • Habe die Word Datei außerdem am Andoid Handy geöffnet. Aber da sollte sie ja nichts anrichten?
        lg

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert