Verbraucherschutz möchte Ihnen Push-Benachrichtigungen schicken.

Bitte wählen Sie Kategorien die Sie abonnieren möchten.



DHL Virus Mail: Ihre Sendung … enthält Trojaner (Update)


Bitte unterstützen Sie uns

Mit einmalig 3 € tragen Sie zur Erhaltung von Verbraucherschutz.com bei und erkennen unsere Leistung an. Jetzt 3,00 Euro per PayPal senden. So können Sie uns außerdem unterstützen.

Mit einem freiwilligen Leser-Abo sagen Sie Betrügern den Kampf an, unterstützen die Redaktion und bekommen einen direkten Draht zu uns.

Aktuell wird eine besonders gefährliche E-Mail im Namen von DHL von Kriminellen versendet. Es handelt sich um eine gefälschte Sendungsbenachrichtigung für die Paket-Abholung. Nach einem Klick auf den Link in der E-Mail wird angeblich ein Lieferschein heruntergeladen. Tatsächlich erhalten Sie eine DOC-Datei mit einem Trojaner.

Betrügerische Nachrichten im Namen von DHL sind keine Ausnahme. Wir haben schon häufig über Phishing-Mails berichtet. Zuletzt ging es um eine E-Mail im Namen von DHL Express Kurier. Doch die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders gemein. Die Nachricht ist recht kurz gehalten und enthält einen Link, über den angeblich der Status der Sendung abgefragt werden kann. Doch ein Klick auf den Link führt Sie nicht etwa auf eine Webseite, sondern lädt direkt einen Virus herunter.

Ganz neu ist die Spam-Mail nicht. In der Vergangenheit wurden diese Nachrichten in abgewandelter Form schon mehrfach versendet. Damals hatten wir vor schädlichen Links in der Nachricht beziehungsweise einer Javascript-Datei gewarnt. Jetzt ist die bösartige E-Mail erneut mit einem Link im Umlauf.

Vorab möchten wir ausdrücklich betonen, dass DHL weder der Versender der E-Mail ist, noch damit in einem Zusammenhang steht. Das Unternehmen ist selbst geschädigt, da der Markenname DHL missbraucht wird. Öffnen Sie die E-Mail auf keinen Fall und klicken Sie keine Links oder Anhänge an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

Entwarnung: DHL-Paketankündigung „Ihr DHL Paket kommt bald.“ kann echt sein

Uns erreichen seit Monaten zahlreiche Anfragen zu E-Mails aus dem Hause DHL. Es geht dabei um Sendungsbenachrichtigungen der DHL Paket GmbH. Wir erklären in diesem Artikel, woran Sie echte von gefälschten Paketankündigungen unterscheiden. War dieser Artikel

Ein Kommentar

So sieht die gefälschte DHL-Mail aus

Optisch macht die E-Mail im Namen von DHL teils einen guten Eindruck. Erfahrungsgemäß werden verschiedene Absenderangaben verwendet. Nur an Kleinigkeiten lässt sich die Fälschung identifizieren. Folgende Absendernamen sind bisher bekannt:

  • DHL
  • DHL Team
  • DHL.de
  • DHL Paket
  • DHL Logistik-Spezialist
  • DHL Support
  • Kundenservice DHL Express
  • DHL Logistik-Team
  • Kundenservice DHL Logistik
  • DHL Express
  • DHL Logistik
  • DHL Transport-Team
  • DHL Fachteam
  • DHL -Sendezentrum <[email protected]>

Verlassen Sie sich niemals auf den Absender einer E-Mail. Die Absenderadresse lässt sich sehr leicht fälschen. Sie können nie sicher sein, ob der angegebene Absender die Nachricht tatsächlich versendet hat.

So sieht die aktuelle E-Mail im Namen von DHL aus, über die ein Virus verbreitet wird:

2019-03-05 DHL Virus-Mail Fake Ihre Sendung
(Quelle: Screenshot)

Wir warnen vor dieser E-Mail, da diese ein besonders hohes Gefährdungspotenzial hat:

Klicken Sie keinen Link in dieser E-Mail an! Öffnen Sie keine Anhänge!

Was passiert nach einem Klick auf den Link?

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. Falls Sie einen Link sehen, soll darüber Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen.

Der Download alleine ist allerdings noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt, also geöffnet werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“ oder eine DOC-Datei für Microsoft-Office. Die Zahlen und Datumsangaben im Dateinamen ändern sich permanent.

Wenn Sie die Datei versehentlich heruntergeladen haben, sollten Sie diese sofort löschen und aus dem Papierkorb entfernen. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Verpassen Sie keine Warnung. Hier können Sie uns folgen:

Welche Gefahr geht von dem Virus aus?

Nach unseren bisherigen Erkenntnissen handelt es sich um einen Downloader. Dieser ist in der Lage weitere schädliche Software herunterzuladen. Über die heruntergeladene Malware können Angreifer Ihren Computer von der Ferne steuern. Denkbar ist, dass Ihr Computer für den weiteren Versand von Virus-E-Mails verwendet wird oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf Ihren Computer kommt. Diese verschlüsselt die Festplatte und macht damit die Inhalte wie Fotos, Dokumente, Videos und Musik unbrauchbar. Anschließend wird von dem Nutzer ein Lösegeld gefordert.

Welches Betriebssystem ist gefährdet?

Bisher ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings ist nicht auszuschließen, dass zukünftig auch andere Betriebssysteme wie Android oder OS X gefährdet sind. Deshalb ist grundsätzlich zu großer Vorsicht zu raten.

Datei geöffnet – und nun?

Falls Sie die heruntergeladene JS-Datei oder die DOC-Datei versehentlich geöffnet haben, müssen Sie Vorsichtsmaßnahmen einleiten. Wir empfehlen dem Laien, dass Sie den Computer sofort ausschalten, in jedem Fall aber vom Netzwerk (WLAN/LAN) trennen. Es ist nicht auszuschließen, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschließend sollten Sie sicherheitshalber auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der infizierten Datei verwendet haben. Lassen Sie den Virus vorsichtshalber von einem Spezialisten entfernen.

Geübte Nutzer können den Trojaner unter Umständen mit Malwarebytes entfernen. Achten Sie immer darauf, dass der Rechner nicht mit dem Netzwerk verbunden sein sollte.

Malwarebytes 4.0: Schadsoftware entfernen und Computer schützen

Ihr Windows-PC ist mit einem Virus infiziert? Dann könnte Malwarebytes 4.0 helfen. Die Software unterstützt Sie nicht nur bei der Beseitigung von Schadsoftware. Ihr Computer wird in Echtzeit geschützt. Bösartige Programme werden erkannt, bevor sie

Ein Kommentar

Haben Sie Fragen zu dem DHL-Virus?

Ihre Fragen können Sie über die Kommentare unter dieser Viruswarnung stellen. Falls Sie ebenfalls eine E-Mail mit Virus oder eine Phishing-Nachricht in Ihrem Postfach haben, dann leiten Sie diese an [email protected] weiter.

Alle weiteren Bedrohungen im Namen von DHL finden Sie in dieser Übersicht.

Spendieren Sie eine Tasse Tee oder Kaffee?

Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Verbraucherschutz.com als unabhängiges Verbraucherportal.

PayPal spenden | Überweisung | Weitere Möglichkeiten

Spendieren Sie eine Tasse Tee oder Kaffee?

Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Verbraucherschutz.com als unabhängiges Verbraucherportal.

PayPal | ÜberweisungSonstige

Antworten auf häufig gestellte Fragen zu dem DHL-Virus

Nachfolgend beantworten wir häufig gestellte Fragen zu diesem Virus. Sollte Ihre Frage nicht beantwortet werden, können Sie diese gerne stellen, indem Sie eine E-Mail an unsere Redaktion schreiben.

Ich habe den DHL-Link auf dem iPhone oder iPad angeklickt. Ist mein Smartphone mit dem Virus infiziert?

Bisher ist uns nicht bekannt, dass Geräte mit dem Betriebssystem iOS infiziert werden. Normalerweise müssen Sie sich in diesem Fall keine Sorgen machen.

Ist der Virus für Android-Handys gefährlich?

Normalerweise nicht. Sie sollten dennoch die heruntergeladene JS-Datei oder DOC-Datei aus dem Ordner Download entfernen.

Ich habe den Link auf dem Android-Smartphone, iPhone oder iPad angeklickt und die Datei evtl. heruntergeladen. Kann sich der Virus über das Netzwerk (LAN/WLAN) auf meine Computer verteilen?

Nein. Der Virus breitet sich über das Netzwerk aus, allerdings nur wenn er auf einem Windows-PC aktiv ist. Es besteht also nach derzeitigem Kenntnisstand keine Gefahr, wenn die Datei auf dem Smartphone heruntergeladen wurde.

Ich habe den Link auf meinem Mac angeklickt und versucht die Datei zu öffnen. Besteht eine Gefahr?

Grundsätzlich wird diese Datei unter OS X auf dem Mac nicht ausgeführt. Allerdings gibt es Ausnahmen, sodass es auf Ihre Konfiguration ankommt. Nutzen Sie beispielsweise die Virtualisierungssoftware Parallels und haben darin Windows installiert, dann kann der Virus gefährlich werden und auch die Inhalte des Mac beschädigen.

Ich habe auf meinem Windows-PC den Link angeklickt. Ist jetzt mein PC infiziert? Was ist zu tun?

Nach dem Anklicken des Links in der DHL-Mail wird eine JS-Datei oder DOC-Datei heruntergeladen. Diese wird standardmäßig im Verzeichnis „Downloads“ gespeichert. In einigen Versionen der schädlichen E-Mail befindet sich diese Datei gleich im Anhang.  Löschen Sie diese Datei. Der Trojaner wird erst dann aktiv, wenn die Datei geöffnet wird. Löschen Sie auch die E-Mail, um einen weiteren versehentlichen Klick auszuschließen.

Ich habe die heruntergeladene Datei unter Windows geöffnet. Was muss ich tun?

Trennen Sie den Computer sofort vom Netzwerk oder schalten Sie ihn aus. Nach unseren aktuellen Erkenntnissen ist der Trojaner offensichtlich in der Lage, sich selbst über das interne Netzwerk zu verbreiten und andere PC’s im Netzwerk zu infizieren. Lassen Sie den Virus von einem Spezialisten entfernen, um größeren Schaden zu vermeiden. Nutzen Sie den Computer nicht weiter, sondern schalten Sie ihn vorsichtshalber aus.

Nach dem Anklicken des Links in der DHL-Mails bekam ich eine Fehlermeldung. Was ist da passiert?

Der Trojaner wird über verschiedene Webseiten verbreitet. Einige URLs wurden zu Ihrem Schutz bereits abgeschaltet, sodass der Virus nicht mehr geladen werden kann und Sie eine Fehlermeldung sehen. Sie müssen nichts weiter unternehmen.

War diese Warnung hilfreich?
Sende
Benutzer-Bewertung
4.53 (34 Stimmen)

81 Gedanken zu „DHL Virus Mail: Ihre Sendung … enthält Trojaner (Update)“

  1. Habe diverse Kollegen, die den Link angeklickt haben.
    ESET Endpoint Antivirus hat die Download-Verbindung blockiert,
    immer gut zu wissen, dass man (ziemlich) save ist 🙂

    Antworten
  2. Hilfe, ich habe die Mail geöffnet und draufgeklickt. Dann wurde für mich als Laien ein Quellcode geöffnet. Da ich dachte, dhl hat Probleme mit der Internetseite, habe ich es später nochmals gemacht. Gleiches Ergebnis.
    Beim durchsuchen mit Kaspersky würde nichts gefunden. Muss ich mir Sorgen machen?

    Antworten
  3. Hallo,
    Habe da ich wirklich ein Paket erwarte gedacht die Mail ist echt und da ich im Stress war ist mir das Script erst später aufgefallen. Es handelt sich um ein Android Handy. Habe schon alle Passwörter auf einem anderen Gerät geändert, Viren und Malwarescan hat nichts ergeben. Kann ich dann davon ausgehen das nichts passiert ist oder besteht noch eine Gefahr?

    Antworten
  4. Hallo lieber Kunde,
    der Zustelltermin fÌr Ihr Paket hat sich auf Dienstag, 12:00-19:00 Uhr geÀndert.

    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    https://nolp.dhl.com.de/set_identcodes.do?time=065701&email=. (JavaScript Report)

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 047671486495
    Sendung verfolgen
    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    12:00-19:00 Uhr
    Zustellort:
    Ihre gewÃŒnschte Lieferadresse

    [commMgrTok:68OHQ1994GHKHX153]
    %rand%

    Nochmal Danke für die Warnung!
    Ja bei mir wurde auch der selbe Tag genannt, der war. Ich habe die allerdings erst Abends gesehen und war nicht so im stress- zum Glück.
    Thunderbird hat die E-Mail glücklicherweise auch als möglischen Phishing markiert.

    Antworten
  5. Hallo lieber Kunde,
    der Zustelltermin für Ihr Paket hat sich auf Dienstag, 12:00-17:00 Uhr geändert.

    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    http://nolp.dhl.com.de/paket.action?time=165201&email. (JavaScript Report)

    Bitte beachten Sie, dass es einige Stunden dauern kann, bis die Informationen zu Ihrem Paket zur Verfügung stehen.

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 939252468492
    Sendung verfolgen
    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    12:00-17:00 Uhr

    Antworten
  6. Danke für die Infos!

    Gibt es von euch noch ein „offizielles“ Statement zum Thema iPhone? Sind ja bisher nur Spekulationen oder?

    Danke und Gruß

    Antworten
  7. Ich habe diese DHL- Email erhalten. Was mir aus den bisherigen Ausführungen nicht klar wird, ist mein System gefährdet, wenn ich das Mail geöffnet, jedoch den Link nicht angeklickt habe? Im obersten Abschnitt dieser Site steht geschrieben, dass auch das Mail auf keinen Fall geöffnet werden soll.

    Antworten
  8. Habe die Mail am 04.04.2017 um 04;54 erhalten.

    Mail Adresse: „[email protected]

    Die Mail ist wirklich gut gemacht, da hat sich jemand wirklich mühe gegeben. Habs nur an der Absende-Mailadresse erkannt (aber auch erst als ich auf Details geklickt hab).

    Ist schon bekannt was der Trojaner macht? Bzw. auf was für Daten er ausgelegt ist?

    Antworten
  9. Mail erhalten am Dienstag, 04.04.2017 um 14.10 Uhr

    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    13:00-18:00 Uhr

    Fälschung erkannt an Absender-Adresse und von Anzeige abweichendem Link

    Gute Beschreibung auf Ihrer Seite, besten Dank !

    Antworten
  10. Hallo zusammen, gibt es neue Erkenntnisse über infizierte Android-Geräte? Ich habe leider die Mail geöffnet und den Link angeklickt. Datei habe ich wieder gelöscht. Das Öffnen hat glücklicherweise nicht funktioniert. Es war spät und ich müde… 🙁 Danke für ein kurzes Feedback.

    Antworten
  11. Habe auch leider auf den Link geklickt. Es wurde auch ein Javascript gezogen.
    Diesen habe ich nicht aufgemacht und sofort aus dem Download Ordner gelöscht.
    Verwendetes System war Android 5.1 auf Handy.
    Handy ist inzwischen komplett zurückgesetzt, sollte ich trotzdem auf möglichen Konten die Passwörter ändern? Zb. von der Email-App, oder Google-Konto?

    Antworten
  12. Meine Sendung von Amazon war für den 5.4.2017 angekündigt und ein paar Stunden später kam die dhl Mail mit der Ankündigung der Lieferung für den 04.04.2017. Die ü waren für mich nicht normal und bei Amazon gab es keine Sendeverfolgung und die Nummer der dhl Mail zeigte auch nichts an, wenn ich die orig.Seite von dhl aufgerufen habe. Dann findet man diese Seite und löscht sofort die dhl Mail.

    Antworten
  13. Hallo Redaktion,

    super Arbeit, die Ihr leistet.

    Ich hatte auch so eine Mail bekommen, wirklich perfekt gefälscht, man erkennt die Fälschung nur am wirklichen Absender, nicht am angezeigten.

    Wenn man jedoch auf eine Sendung wartet, fällt man schnell darauf rein, so auch ich.

    Ich habe die Links versucht mit einem I-Phone zu öffnen, sind meine Geräte nun gefährdet und was kann ich dagegen tun?

    Vielen Dank im Voraus.

    Antworten
  14. Habe die Email heute auch auf meinem Handy geöffnet
    und trotz Skepsis auf den Link geklickt.
    Javascript ist auf dem Handy nicht aktiv, das Script
    konnte nicht ausgeführt werden.
    Ich gehe deshalb davon aus, dass kein Schaden enstanden ist.

    Antworten
  15. Auch ich habe heute leider voreilig auf den Link geklickt, allerdings mit meinem iOS Handy. Wird dadurch auch schädliche Software geladen? Kann ich diese entfernen?

    Antworten
  16. Hallo,

    Ich Holzkopf habe auf den Link mit der Sendungsnummer geklickt. Daraufhin hat sich eine Internetseite geöffnet und mir wurde ein HTML Code bzw. Gerüst dargestellt. Ich habe den Link mit meinem IPhone geöffnet, habe daraufhin mein IPhone zurück gesetzt und neue Passwörter vergeben. Habe ich noch was zu befürchten? Oder ist IOS von diesem Tojaner nicht betroffen?

    Antworten
  17. Hallo!
    Ich habe die Mail auch bekommen. Absender dhl.de ([email protected]). Wenn der Link geklickt wurde, ist die Datei laut eurer Beschreibung auf dem Rechner, muss aber noch ausgeführt werden, um Schaden anrichten zu können?
    Wie kann ich denn jetzt in win10 die Datei finden, um sie zu löschen? Bin Laie, habe es ohne Erfolg mit dem Explorer versucht und DHL_Report_ als Suchbegriff angegeben. Könnt ihr mir helfen?

    Antworten
    • Wenn die Datei heruntergeladen wurde, befindet Sie sich normalerweise in dem Order „Download“.

      Einige URLs wurden zwischenzeitlich bereits gesperrt, sodass es nicht mehr zum Download kommt. Dann wird eine Fehlermeldung beim Klick auf den Link angezeigt.

      Viele Grüße aus der Redaktion

      Antworten
      • Habe die Datei auf meinem Android Telefon mit einem Texteditor geöffnet.
        Besteht auch dann keine Gefahr für Androidgeräte?

        Antworten
  18. E-Mail heute von DHL erhalten. Am Handy den Link angeklickt und die runtergeladene Datei öffnet sich im Browser Download Ordner. Ich hoffe es passiert nichts – war ein Androidhandy.

    Antworten
    • Habe ebenfalls die Mail auf dem Handy (Android) geöffnet und den Link angeklickt. Datei wurde runtergeladen, konnte aber nicht geöffnet werden. Die Datei habe ich wieder gelöscht.

      Antworten
      • Scheinbar verschlüsselt dieser Virus auch die Dateien auf der Festplatte. Laufwerk C schein nicht betroffen zu sein jedoch alle anderen.

        Kennt jemand den genauen Namen des Virus?

        Oder eine möglichkeit die Dateien zu entschlüsseln?

        Antworten

Schreibe einen Kommentar