DHL Virus Mail: Ihr DHL Paket kommt am … enthält Trojaner (Update)

DHL Virus E-Mail
(Screenshot)

Eine besonders gefährliche E-Mail im Namen von DHL wird derzeit von Kriminellen versendet. Es handelt sich um eine sehr gut gefälschte Sendungsbenachrichtigung im neuen DHL-Design. Wer die korrekt aussehenden Links in der E-Mail anklickt, lädt sich einen Javascript-Virus auf seinen Computer.

Werbung:

Betrügerische Nachrichten im Namen von DHL sind keine Ausnahme. Wir haben schon häufig über Phishing-Mails berichtet. Zuletzt ging es um eine E-Mail im Namen von DHL Express Kurier. Doch die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders gemein. Die Betrüger haben die Nachricht weitestgehend an die Sicherheitskriterien von DHL angepasst, sodass der Laie den Betrug schlechter erkennen kann. Außerdem wird bereits die neue Version der Sendungsbenachrichtigung verwendet.

Vorab möchten wir ausdrücklich betonen, dass DHL weder der Versender der E-Mail ist, noch damit in einem Zusammenhang steht. Das Unternehmen ist selbst geschädigt, da der Markenname DHL missbraucht wird. Öffnen Sie die E-Mail auf keinen Fall und klicken Sie keine Links an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

So sieht die gefälschte DHL-Mail aus

Optisch macht die E-Mail im Namen von DHL zunächst einen guten Eindruck. Sie ist in den typischen DHL-Farben gestaltet und unterscheidet sich kaum von den echten DHL-Nachrichten. Nur an Kleinigkeiten lässt sich die Fälschung identifizieren. Als Absendername ist DHL, DHL Team, DHL.de, DHL Paket, DHL Logistik-Spezialist, DHL Support, Kundenservice DHL Express, DHL Logistik-Team, Kundenservice DHL Logistik oder DHL Express angegeben. Wer sich jedoch die dahinterstehende E-Mail-Adresse ansieht, wird feststellen, dass es sich hier um eine beliebige Adresse handelt. Ein erstes Zeichen für eine Fälschung. Im Betreff steht „Ihr DHL Paket kommt am …“ und im Text lesen Sie die Details zur Sendung. Informiert werden Sie darin beispielsweise über eine Änderung des Zustelltermins.

Besonders trickreich sind die Ganoven in Bezug auf die Links in der E-Mail vorgegangen. In der Spam-Mail wird ein Link angezeigt, der mit „https://nolb.dhl.de“ beginnt. So beginnen auch die echten DHL-URLs. Wer allerdings mit seiner Maus über den Link fährt, sieht, dass das Linkziel nicht zu dieser URL, sondern zu einer ganz anderen Webseite führt. Ein weiteres sicheres Zeichen für eine Fälschung. So sieht die gefälschte DHL-Nachricht aus:

DHL Spam E-Mail
Nur an der E-Mail-Adresse des Absenders und am Ziel der URLS ist die DHL-Fälschung erkennbar. (Screenshot)

Wir warnen vor dieser E-Mail, da diese ein besonders hohes Gefährdungspotenzial hat:

Klicken Sie keinen Link in dieser E-Mail an!

Die uns vorliegenden E-Mails bezogen sich alle auf eine Terminänderung am gleichen Tag. Das soll offensichtlich dazu führen, dass die Empfänger schneller klicken, um sich die Details anzusehen. Bitte hinterlassen Sie einen Kommentar unterhalb des Artikels, ob das bei Ihnen auch so war oder ob ein Paket am nächsten oder übernächsten Tag angekündigt wurde.


Werbung


07.11.2017 Update Mittlerweile wird die E-Mail mit dem gleichen Betreff wieder in die Runde geschickt. Uns liegt die Nachricht allerdings nicht im DHL Design, sondern als reine Textnachricht vor. Mit dem Absender „Kundenservice DHL Express <europahouse@enterprise.net>)“ und dem Betreff „Ihr DHL Paket kommt am …“ landet die Nachricht wieder in den Postfächern der Verbraucher.

Der dazugehörige Text lautet:

2017-11-07 DHL Virus
So sieht die Mail aus, wenn die Bilder mit übertragen werden. (Quelle: Screenshot)

Guten Tag, Max Muster
der Zustelltermin für Ihr Paket hat sich auf Dienstag, 13:00-17:00 Uhr
geändert.
http://dhl.de/paket.action&email=max@muster.de<http://axismediame.com/DHL-number/>.

Bitte halten Sie den Nachnahmebetrag in Höhe von 36.87 Euro passend bereit.

ALLE INFORMATIONEN AUF EINEN BLICK:

Paket von:
IKEA Sendungsnummer:
200756394440000
<http://axismediame.com/DHL-number/>

Voraussichtliches Zustelldatum:
[http://img.srv2.de/bm/custom/dhl/07-11.jpg] Dienstag,
07.November
13:00-17:00 Uhr

Doch es hat sich etwas geändert. Die angehängte Datei ist diesmal keine Javascript-Datei. Vielmehr handelt es sich um ein .doc-Dokument (DHL Tracking – Dienstag.doc). Das ist insofern gefährlich, als das ein Makrovirus beim Öffnen der Datei aktiviert werden kann. Was dieser anschließend für Schadsoftware aus dem Internet lädt, wissen wir nicht. Möglich wären aber beispielsweise Entschlüsselungstrojaner (Ransomware), die Ihren Computer verschlüsseln und unbrauchbar machen.

Die aktuelle Bedrohung wird derzeit von noch recht wenig Virenscannern erkannt. 

Wir schätzen die Gefahr als besonders hoch ein.

Und natürlich sollten Sie auch in der aktuellen E-Mail keine Links anklicken. Denn schließlich wissen Sie nicht, auf welche Webseite diese führen.


Werbung


Was passiert nach einem Klick auf den Link?

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. In diesem Fall soll Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen.

Der Download alleine ist allerdings noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt, also geöffnet werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“. Die Zahlen im Dateinamen ändern sich permanent.

Wenn Sie die Datei versehentlich heruntergeladen haben, sollten Sie diese sofort löschen und aus dem Papierkorb entfernen. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Welche Gefahr geht von dem Virus aus?

Nach unseren bisherigen Erkenntnissen handelt es sich um einen Downloader. Dieser ist in der Lage weitere schädliche Software herunterzuladen. Über die heruntergeladene Malware können Angreifer Ihren Computer von der Ferne steuern. Denkbar ist, dass Ihr Computer für den weiteren Versand von Virus-E-Mails verwendet wird oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf Ihren Computer kommt. Diese verschlüsselt die Festplatte und macht damit die Inhalte wie Fotos, Dokumente, Videos und Musik unbrauchbar. Anschließend wird von dem Nutzer ein Lösegeld gefordert.

Welches Betriebssystem ist gefährdet?

Bisher ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings ist nicht auszuschließen, dass zukünftig auch andere Betriebssysteme wie Android oder OS X gefährdet sind. Deshalb ist grundsätzlich zu großer Vorsicht zu raten.


Werbung


Wird der Virus von Virenscannern erkannt?

05.04.2017 Aktuell wird der Virus von den wenigsten Virenscannern erkannt. Folgende Virenscanner sollten den Virus laut virustotal.com erkennen können:

  • AegisLab
  • Arcabit 
  • Cyren
  • DrWeb 
  • F-Prot
  • Kaspersky 
  • NANO-Antivirus 
  • Qihoo-360 
  • TheHacker
  • TrendMicro 
  • TrendMicro-HouseCall 
  • ZoneAlarm by Check Point

(Stand: 05.04.2017)

Datei geöffnet – und nun?

Falls Sie die heruntergeladene JS-Datei versehentlich geöffnet haben, müssen Sie Vorsichtsmaßnahmen einleiten. Wir empfehlen dem Laien, dass Sie den Computer sofort ausschalten, in jedem Fall aber vom Netzwerk (WLAN/LAN) trennen. Es ist nicht auszuschließen, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschließend sollten Sie sicherheitshalber auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der JS-Datei verwendet haben. Lassen Sie den Virus vorsichtshalber von einem Spezialisten entfernen.

Geübte Nutzer können den Trojaner unter Umständen mit Malwarebytes entfernen. Achten Sie immer darauf, dass der Rechner nicht mit dem Netzwerk verbunden sein sollte.

Malwarebytes

Malwarebytes 3.0: Schadsoftware entfernen und Computer schützen

Ihr Windows-PC ist mit einem Virus infiziert? Dann könnte Malwarebytes 3.0 helfen. Die Software unterstützt Sie nicht nur bei der Beseitigung von Schadsoftware. Ihr Computer wird in Echtzeit geschützt. Bösartige […]

Haben Sie Fragen zu dem DHL-Virus?

Ihre Fragen können Sie entweder über die Kommentare unter dieser Viruswarnung stellen oder Sie senden eine E-Mail an unseren Support. Falls Sie ebenfalls eine E-Mail mit Virus oder eine Phishing-Nachricht in Ihrem Postfach haben, dann leiten Sie diese an kontakt@onlinewarnungen.de weiter. 

Alle weiteren Bedrohungen im Namen von DHL finden Sie in dieser Übersicht.

Verpassen Sie keine Warnung.
Hier können Sie uns folgen:
E-Mail Icon Newsletter RSS Icon facebook-button-rund Twitter Icon

Antworten auf häufig gestellte Fragen zu dem DHL-Virus

Nachfolgend beantworten wir häufig gestellte Fragen zu diesem Virus. Sollte Ihre Frage nicht beantwortet werden, können Sie diese gerne stellen, indem Sie eine E-Mail an unsere Redaktion schreiben.

Ich habe den DHL-Link auf dem iPhone oder iPad angeklickt. Ist mein Smartphone mit dem Virus infiziert?

Bisher ist uns nicht bekannt, dass Geräte mit dem Betriebssystem iOS infiziert werden. Normalerweise müssen Sie sich in diesem Fall keine Sorgen machen. 

Ist der Virus für Android-Handys gefährlich?

Normalerweise nicht. Sie sollten dennoch die heruntergeladene JS-Datei aus dem Ordner Download entfernen.

Ich habe den Link auf dem Android-Smartphone, iPhone oder iPad angeklickt und die Datei evtl. heruntergeladen. Kann sich der Virus über das Netzwerk (LAN/WLAN) auf meine Computer verteilen?

Nein. Der Virus breitet sich über das Netzwerk aus, allerdings nur wenn er auf einem Windows-PC aktiv ist. Es besteht also nach derzeitigem Kenntnisstand keine Gefahr, wenn die Datei auf dem Smartphone heruntergeladen wurde.

Ich habe den Link auf meinem Mac angeklickt und versucht die Datei zu öffnen. Besteht eine Gefahr?

Grundsätzlich wird diese Datei unter OS X auf dem Mac nicht ausgeführt. Allerdings gibt es Ausnahmen, sodass es auf Ihre Konfiguration ankommt. Nutzen Sie beispielsweise die Virtualisierungssoftware Parallels und haben darin Windows installiert, dann kann der Virus gefährlich werden und auch die Inhalte des Mac beschädigen.

Ich habe auf meinem Windows-PC den Link angeklickt. Ist jetzt mein PC infiziert? Was ist zu tun?

Nach dem Anklicken des Links in der DHL-Mail wird eine JS-Datei heruntergeladen. Diese wird standardmäßig im Verzeichnis „Downloads“ gespeichert. Löschen Sie diese Datei. Der Trojaner wird erst dann aktiv, wenn die Datei geöffnet wird. Löschen Sie auch die E-Mail, um einen weiteren versehentlichen Klick auszuschließen.


Werbung


Ich habe die heruntergeladene Datei unter Windows geöffnet. Was muss ich tun?

Trennen Sie den Computer sofort vom Netzwerk oder schalten Sie ihn aus. Nach unseren aktuellen Erkenntnissen ist der Trojaner offensichtlich in der Lage, sich selbst über das interne Netzwerk zu verbrieten und andere PC’s im Netzwerk zu infizieren. Lassen Sie den Virus von einem Spezialisten entfernen, um größeren Schaden zu vermeiden. Nutzen Sie den Computer nicht weiter, sondern schalten Sie ihn vorsichtshalber aus.

Nach dem Anklicken des Links in der DHL-Mails bekam ich eine Fehlermeldung. Was ist da passiert?

Der Trojaner wird über verschiedene Webseiten verbreitet. Einige URLs wurden zu Ihrem Schutz bereits abgeschaltet, sodass der Virus nicht mehr geladen werden kann und Sie eine Fehlermeldung sehen. Sie müssen nichts weiter unternehmen.

Diese Warnungen sind gerade aktuell

Tasse Kaffee SpendeSpendieren Sie eine Tasse Tee oder Kaffee?

Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Onlinewarnungen.de als unabhängiges Verbraucherportal. PayPal spenden | Überweisung | Weitere Möglichkeiten

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.




1 Kommentar zu DHL Virus Mail: Ihr DHL Paket kommt am … enthält Trojaner (Update)

  1. Hallo zusammen,
    ich habe heute anscheinend eine weitere Variante der DHL-Phishing Mail erhalten: Der Absender lautet „Deutsche Post DHL GROUP „, der Betreff „Ihr Paket ist unterwegs zu Ihnen!“.
    Der Nachrichtentext lautet:

    „Guten Tag VORNAME NACHNAME,
    erfreulicherweise haben wir einen beachtlichen Anstieg von registrierten DHL-Kunden innerhalb eines Jahresquartals über 46 Prozent verzeichnet.
    Unsere Verantwortung gegenüber den rasant wachsenden Kundenstamm wächst, wie die Verantwortung gegenüber Ihnen. Die Maßnahmen zur Sicherheit des Services wurden aus diesem Grunde weiter für Sie verbessert.
    Wir führen in regelmäßigen Abständen einen Prozess von angemeldeten DHL-Kunden durch.
    Sie haben die Option ausgewählt: Paket deponieren vor der Haustüre.
    Sie haben diese Ware nicht bestellt? Sie möchten die erhaltene Ware an den Versender retournieren?
    Bei uns kein Problem!
    Öffnen Sie den Anhang darin können Sie die Rücksendung dieser Sendung beantragen.
    Weiterhin viel Freude mit Paket wünscht Ihnen
    Ihr PAKET-Team
    Ihr Weg zum individuellen Paketempfang und -versand.“

    Die Mail hat einen Anhang namens „Retoure.zip“ und ist täuschend echt gemacht. Ich habe die Mail allerdings nur mit Text-Format geöffnet und den Anhang gar nicht. Ich erwarte derzeit zwar zwei Sendungen; was mich stutzig gemacht hat, ist die Tatsache, dass ich keinen Ablageort vereinbart habe und das Deutsch nicht wirklich perfekt ist …

    Was für eine miese Bandw – und das in der Weihnachtszeit!