Mit einmalig 3 € tragen Sie zur Erhaltung von Verbraucherschutz.com bei und erkennen unsere Leistung an. Jetzt 3,00 Euro per PayPal senden. So können Sie uns außerdem unterstützen.
Mit einem freiwilligen Leser-Abo sagen Sie Betrügern den Kampf an, unterstützen die Redaktion und bekommen einen direkten Draht zu uns.
Und wieder müssen wir vor einer E-Mail im Namen der DHL-Group warnen, die nach unseren Kenntnissen seit 30.11.2017 im Umlauf ist. Im Anhang der Spam-Mail befindet sich ein gefährlicher Trojaner, der von vielen Virenscannern noch nicht erkannt wird. Wir erklären, woran Sie die Fake-Mail erkennen.
Viren und Trojaner kommen sehr häufig über E-Mails auf den Computer der Nutzer. Denn bei der elektronischen Post, haben es Kriminelle besonders einfach. Sie müssen sich nur ein Thema aussuchen, was die Neugier des Empfängers weckt. Dann wird eine passende Spam-Mail erstellt und das Corporate Identity beliebiger Unternehmen gefälscht. Genügend kriminelle Kreativität vorausgesetzt, werden einige Nutzer die Anhänge oder Links in der Fake-Mail öffnen und so die Schadsoftware aktivieren.
Besonders gern nutzen Kriminelle den Logistik-Riesen DHL. Schließlich erwarten viele Empfänger gerade ein Paket und klicken im Stress einen infizierten Link an oder öffnen wie im konkreten Fall eine infizierte Datei im Anhang der Fake-Mail. Und schon kann sich der Virus auf dem Rechner des Anwenders ausbreiten. Da das oft unbemerkt geschieht, ist der Schaden hinterher meist besonders groß.
Wichtiger Hinweis vorab:
Der Paketdienstleister DHL und die DHL Group haben diese E-Mails nicht versendet. Vielmehr wurde das Unternehmen durch den Missbrauch des Markennamens selbst geschädigt.
Wie sieht die aktuelle Virus-Mail im Namen von DHL aus?
Natürlich werden schädliche Mails immer wieder angepasst, weil die Kriminellen auf Warnungen im Internet reagieren oder schlicht die Erkennung in Spam-Filtern umgehen möchten. Falls Sie eine E-Mail mit anderen Daten bekommen haben, leiten Sie uns diese bitte an [email protected] weiter. Folgende Daten sind uns bisher bekannt:
Das Paket ist eingetroffen. Der Empfänger ist unter der Kontaktnummer nicht zu erreichen.
Das Paket ist eingegangen. Der Empfänger ist unter der Kontaktnummer nicht zu erreichen.
Anhang der E-Mail:
Dokument DHL_556220_30_11_2017.doc
Im Text der Trojaner-Mail ist zu lesen:
(Quelle: Screenshot)
Sehr geehrte/r Herr/Frau Max Mustermann.
Auf Ihren Namen ist die Sendung mit den Dokumenten eingetroffen.
Die Postsendung haben wir am 29.11.2017 erhalten, aber leider konnten wir Sie unter der angegebenen Telefonnummer nicht erreichen.
Ausführliche Information finden Sie im Attachment.
Mit freundlichen Grüssen
Ihr DHL Team
Wir warnen bei diesen E-Mails vor der Anlage, die in Form einer Word-Datei (doc-Dokument) beigefügt ist. Öffnen Sie die angehängte Word-Datei auf keinen Fall. Sie enthält einen Virus.
Was sollten Sie mit dieser E-Mail tun?
Es handelt sich um eine gefälschte Spam-Mail, der Sie keinerlei Beachtung schenken dürfen. DHL würde niemals Sendungsinformationen in einer DOC-Datei versenden. Dabei spielt es keine Rolle, ob sich die Datei im Anhang befindet oder erst über einen Link heruntergeladen werden soll.
Öffnen Sie keine Anhänge in dieser E-Mail!
Welche Gefahr geht von der gefälschten DHL-Mail aus?
Aktuell schätzen wir die Gefahr als recht groß ein. Einerseits wird der Trojaner von einigen bekannten Virenscannern noch nicht erkannt. Dadurch kann sich die Software bei unaufmerksamen Nutzern sehr schnell ausbreiten. Wir haben die Datei mit 60 Virenscannern getestet. Nur 20 Virenscanner haben den Virus erkannt. Die Schadsoftware wurde von den unterschiedlichen Antivirus-Anbietern wie folgt bezeichnet:
Ad-Aware: VB:Trojan.Valyria.1055
Antiy-AVL: Trojan[Downloader]/MSOffice.Agent.cjp
Arcabit: VB:Trojan.Valyria.D41F
BitDefender: VB:Trojan.Valyria.1055
ClamAV. Doc.Macro.Obfuscation-6387400-0
Cyren: W97M/Powmet
Emsisoft: VB:Trojan.Valyria.1055 (B)
eScan: VB:Trojan.Valyria.1055
ESET-NOD32: VBA/TrojanDownloader.Agent.FOP
F-Prot: New or modified W97M/Powmet
F-Secure: VB:Trojan.Valyria.1055
Fortinet: VBA/Agent.9C8D!tr.dldr
GData: VB:Trojan.Valyria.1055
Ikarus: Trojan-Downloader.VBA.Agent
MAX: malware (ai score=89)
McAfee: W97M/Downloader.cjp
McAfee-GW-Edition: W97M/Downloader.cjp
Qihoo-360: virus.office.qexvmc.1085
Rising: Trojan.Obfus/VBA!1.A609 (CLASSIC)
TrendMicro-HouseCall: Suspicious_GEN.F47V1130
Bei der Schadsoftware selbst handelt es sich um einen sogenannten Downloader. Dieser lädt selbstständig weitere Malware herunter und installiert diese. Dadurch lässt sich nicht einschätzen, welchen Schaden der Virus verursacht. Es muss damit gerechnet werden, dass darüber auch Ransomware auf den Computer gelangt. Zudem ist anzunehmen, dass auch andere Rechner im Netzwerk infiziert werden.
Kunden der Volksbank werden massiv mit Phishing-Mails angegriffen. Aktuell wird mit dem Betreff „Einschränkung Ihres
Die Schadsoftware ist in der Word-Datei als sogenannter Makrovirus versteckt. Das bedeutet, dass eine Sicherheitslücke in Microsoft Word ausgenutzt wird, wodurch sich der Virus beim Öffnen und Aktivieren von Makros ausbreiten kann. Wussten Sie schon? Wir erklären in einem Ratgeber, woran Sie Spam-Mails selbst erkennen und wie Sie diese nahezu vermeiden können.
Nach unseren bisherigen Erkenntnissen hat es der Trojaner auf Computer mit dem Betriebssystem Windows abgesehen. Android, iOS, Linux und OS X scheinen bisher nicht betroffen zu sein. Allerdings verändern sich Viren sehr schnell und können deshalb rein theoretisch auch für Computer mit anderen Betriebssystemen oder Handys und Tablet-PCs gefährlich werden.
Was ist zu tun, wenn Sie die Datei geöffnet haben?
Die Erfahrungen der Vergangenheit haben gezeigt, dass Schadsoftware immer gefährlicher wird und durch den Menschen nahezu unkontrollierbar ist. So könnte sich die Malware über das Netzwerk auch auf andere PC’s übertragen oder die Daten in der Cloud unbrauchbar machen. Aus Sicherheitsgründen raten wir deshalb zu diesen recht radikalen Maßnahmen:
Schalten Sie den Computer sofort aus und nutzen Sie ihn nicht weiter.
Lassen Sie den PC von einem Spezialisten untersuchen und den Virus entfernen.
Ändern Sie die Passwörter für alle Onlinekonten, die Sie auf dem Computer genutzt haben.
Vor allem in Firmennetzwerken sollten Sie unbedingt den Administrator verständigen, auch wenn das unangenehm ist. Im schlimmsten Fall könnte die EDV des gesamten Unternehmens beschädigt und unbrauchbar gemacht werden.
Haben Sie Fragen zu der Fake-Mail im Namen von DHL?
Falls Sie Fragen haben, können Sie diese über die Kommentare unterhalb des Artikels loswerden. Wir oder unsere Leser werden diese recht kurzfristig beantworten. Bitte haben Sie jedoch dafür Verständnis, dass wir nur Fragen beantworten können, die im Artikel selbst noch nicht beantwortet sind.
Verpassen Sie keine Warnung. Hier können Sie uns folgen:
Antworten auf häufig gestellte Fragen zu dem DHL-Virus
Nachfolgend beantworten wir häufig gestellte Fragen zu diesem Virus. Sollte Ihre Frage nicht beantwortet werden, können Sie diese gerne stellen, indem Sie eine E-Mail an unsere Redaktion schreiben.
Ich habe den Anhang in der DHL_Mail auf dem iPhone oder iPad angeklickt. Ist mein Smartphone mit dem Virus infiziert?
Bisher ist uns nicht bekannt, dass Geräte mit dem Betriebssystem iOS infiziert werden. Normalerweise müssen Sie sich in diesem Fall keine Sorgen machen.
Ist der Virus für Android-Handys gefährlich?
Normalerweise nicht. Sie sollten dennoch die heruntergeladene Datei aus dem Ordner Download entfernen.
Ich habe den Anhang auf dem Android-Smartphone, iPhone oder iPad angeklickt und die Datei evtl. heruntergeladen. Kann sich der Virus über das Netzwerk (LAN/WLAN) auf meine Computer verteilen?
Nein. Der Virus breitet sich über das Netzwerk aus, allerdings nur wenn er auf einem Windows-PC aktiv ist. Es besteht also nach derzeitigem Kenntnisstand keine Gefahr, wenn die Datei auf dem Smartphone heruntergeladen wurde.
Ich habe den DHL-Anhang auf meinem Mac angeklickt und versucht die Datei zu öffnen. Besteht eine Gefahr?
Grundsätzlich wird diese Datei unter OS X auf dem Mac nicht ausgeführt. Allerdings gibt es Ausnahmen, sodass es auf Ihre Konfiguration ankommt. Nutzen Sie beispielsweise die Virtualisierungssoftware Parallels und haben darin Windows installiert, dann kann der Virus gefährlich werden und auch die Inhalte des Mac beschädigen.
Ich habe auf meinem Windows-PC den Anhang angeklickt. Ist jetzt mein PC infiziert? Was ist zu tun?
Nach dem Anklicken des Anhangs in der DHL-Mail wird eine Doc-Datei heruntergeladen. Diese wird standardmäßig im Verzeichnis „Downloads“ gespeichert. Löschen Sie diese Datei. Der Trojaner wird erst dann aktiv, wenn die Datei geöffnet wird. Löschen Sie auch die E-Mail, um einen weiteren versehentlichen Klick auszuschließen.
Ich habe die heruntergeladene Datei unter Windows geöffnet. Was muss ich tun?
Trennen Sie den Computer sofort vom Netzwerk oder schalten Sie ihn aus. Nach unseren aktuellen Erkenntnissen ist der Trojaner offensichtlich in der Lage, sich selbst über das interne Netzwerk zu verbrieten und andere PC’s im Netzwerk zu infizieren. Lassen Sie den Virus von einem Spezialisten entfernen, um größeren Schaden zu vermeiden. Nutzen Sie den Computer nicht weiter, sondern schalten Sie ihn vorsichtshalber aus.
Nach dem Anklicken des Anhangs in der DHL-Mails bekam ich eine Fehlermeldung. Was ist da passiert?
Der Trojaner wird über verschiedene Webseiten verbreitet. Einige URLs wurden zu Ihrem Schutz bereits abgeschaltet, sodass der Virus nicht mehr geladen werden kann und Sie eine Fehlermeldung sehen. Sie müssen nichts weiter unternehmen.
Weitere News zum Thema Schadsoftware
Beiträge nicht gefunden
Spendieren Sie eine Tasse Tee oder Kaffee?
Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Verbraucherschutz.com als unabhängiges Verbraucherportal.
Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Verbraucherschutz.com als unabhängiges Verbraucherportal.
