DHL Virus Mail: Ihr DHL Paket kommt am … enthält Trojaner (Update)

DHL Virus E-Mail
(Screenshot)

Eine besonders gefährliche E-Mail im Namen von DHL wird derzeit von Kriminellen versendet. Es handelt sich um eine sehr gut gefälschte Sendungsbenachrichtigung im neuen DHL-Design. Wer die korrekt aussehenden Links in der E-Mail anklickt, lädt sich einen Javascript-Virus auf seinen Computer.

Werbung:

Betrügerische Nachrichten im Namen von DHL sind keine Ausnahme. Wir haben schon häufig über Phishing-Mails berichtet. Zuletzt ging es um eine E-Mail im Namen von DHL Express Kurier. Doch die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders gemein. Die Betrüger haben die Nachricht weitestgehend an die Sicherheitskriterien von DHL angepasst, sodass der Laie den Betrug schlechter erkennen kann. Außerdem wird bereits die neue Version der Sendungsbenachrichtigung verwendet.

Vorab möchten wir ausdrücklich betonen, dass DHL weder der Versender der E-Mail ist, noch damit in einem Zusammenhang steht. Das Unternehmen ist selbst geschädigt, da der Markenname DHL missbraucht wird. Öffnen Sie die E-Mail auf keinen Fall und klicken Sie keine Links an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

So sieht die gefälschte DHL-Mail aus

Optisch macht die E-Mail im Namen von DHL zunächst einen guten Eindruck. Sie ist in den typischen DHL-Farben gestaltet und unterscheidet sich kaum von den echten DHL-Nachrichten. Nur an Kleinigkeiten lässt sich die Fälschung identifizieren. Als Absendername ist DHL, DHL Team, DHL.de, DHL Paket, DHL Logistik-Spezialist, DHL Support, Kundenservice DHL Express, DHL Logistik-Team, Kundenservice DHL Logistik oder DHL Express angegeben. Wer sich jedoch die dahinterstehende E-Mail-Adresse ansieht, wird feststellen, dass es sich hier um eine beliebige Adresse handelt. Ein erstes Zeichen für eine Fälschung. Im Betreff steht „Ihr DHL Paket kommt am …“ und im Text lesen Sie die Details zur Sendung. Informiert werden Sie darin beispielsweise über eine Änderung des Zustelltermins.

Besonders trickreich sind die Ganoven in Bezug auf die Links in der E-Mail vorgegangen. In der Spam-Mail wird ein Link angezeigt, der mit „https://nolb.dhl.de“ beginnt. So beginnen auch die echten DHL-URLs. Wer allerdings mit seiner Maus über den Link fährt, sieht, dass das Linkziel nicht zu dieser URL, sondern zu einer ganz anderen Webseite führt. Ein weiteres sicheres Zeichen für eine Fälschung. So sieht die gefälschte DHL-Nachricht aus:

DHL Spam E-Mail
Nur an der E-Mail-Adresse des Absenders und am Ziel der URLS ist die DHL-Fälschung erkennbar. (Screenshot)

Wir warnen vor dieser E-Mail, da diese ein besonders hohes Gefährdungspotenzial hat:

Klicken Sie keinen Link in dieser E-Mail an!

Die uns vorliegenden E-Mails bezogen sich alle auf eine Terminänderung am gleichen Tag. Das soll offensichtlich dazu führen, dass die Empfänger schneller klicken, um sich die Details anzusehen. Bitte hinterlassen Sie einen Kommentar unterhalb des Artikels, ob das bei Ihnen auch so war oder ob ein Paket am nächsten oder übernächsten Tag angekündigt wurde.


Werbung


Was passiert nach einem Klick auf den Link?

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. In diesem Fall soll Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen.

Der Download alleine ist allerdings noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt, also geöffnet werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“. Die Zahlen im Dateinamen ändern sich permanent.

Wenn Sie die Datei versehentlich heruntergeladen haben, sollten Sie diese sofort löschen und aus dem Papierkorb entfernen. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Welche Gefahr geht von dem Virus aus?

Nach unseren bisherigen Erkenntnissen handelt es sich um einen Downloader. Dieser ist in der Lage weitere schädliche Software herunterzuladen. Über die heruntergeladene Malware können Angreifer Ihren Computer von der Ferne steuern. Denkbar ist, dass Ihr Computer für den weiteren Versand von Virus-E-Mails verwendet wird oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf Ihren Computer kommt. Diese verschlüsselt die Festplatte und macht damit die Inhalte wie Fotos, Dokumente, Videos und Musik unbrauchbar. Anschließend wird von dem Nutzer ein Lösegeld gefordert.

Welches Betriebssystem ist gefährdet?

Bisher ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings ist nicht auszuschließen, dass zukünftig auch andere Betriebssysteme wie Android oder OS X gefährdet sind. Deshalb ist grundsätzlich zu großer Vorsicht zu raten.


Werbung


Wird der Virus von Virenscannern erkannt?

05.04.2017 Aktuell wird der Virus von den wenigsten Virenscannern erkannt. Folgende Virenscanner sollten den Virus laut virustotal.com erkennen können:

  • AegisLab
  • Arcabit 
  • Cyren
  • DrWeb 
  • F-Prot
  • Kaspersky 
  • NANO-Antivirus 
  • Qihoo-360 
  • TheHacker
  • TrendMicro 
  • TrendMicro-HouseCall 
  • ZoneAlarm by Check Point

(Stand: 05.04.2017)

Datei geöffnet – und nun?

Falls Sie die heruntergeladene JS-Datei versehentlich geöffnet haben, müssen Sie Vorsichtsmaßnahmen einleiten. Wir empfehlen dem Laien, dass Sie den Computer sofort ausschalten, in jedem Fall aber vom Netzwerk (WLAN/LAN) trennen. Es ist nicht auszuschließen, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschließend sollten Sie sicherheitshalber auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der JS-Datei verwendet haben. Lassen Sie den Virus vorsichtshalber von einem Spezialisten entfernen.

Geübte Nutzer können den Trojaner unter Umständen mit Malwarebytes entfernen. Achten Sie immer darauf, dass der Rechner nicht mit dem Netzwerk verbunden sein sollte.

Malwarebytes

Malwarebytes 3.0: Schadsoftware entfernen und Computer schützen

Ihr Windows-PC ist mit einem Virus infiziert? Dann könnte Malwarebytes 3.0 helfen. Die Software unterstützt Sie nicht nur bei der Beseitigung von Schadsoftware. Ihr Computer wird in Echtzeit geschützt. Bösartige […]

Haben Sie Fragen zu dem DHL-Virus?

Ihre Fragen können Sie entweder über die Kommentare unter dieser Viruswarnung stellen oder Sie senden eine E-Mail an unseren Support. Falls Sie ebenfalls eine E-Mail mit Virus oder eine Phishing-Nachricht in Ihrem Postfach haben, dann leiten Sie diese an kontakt@onlinewarnungen.de weiter. 

Alle weiteren Bedrohungen im Namen von DHL finden Sie in dieser Übersicht.

Verpassen Sie keine Warnung.
Hier können Sie uns folgen:
E-Mail Icon Newsletter RSS Icon facebook-button-rund Twitter Icon

Antworten auf häufig gestellte Fragen zu dem DHL-Virus

Nachfolgend beantworten wir häufig gestellte Fragen zu diesem Virus. Sollte Ihre Frage nicht beantwortet werden, können Sie diese gerne stellen, indem Sie eine E-Mail an unsere Redaktion schreiben.

Ich habe den DHL-Link auf dem iPhone oder iPad angeklickt. Ist mein Smartphone mit dem Virus infiziert?

Bisher ist uns nicht bekannt, dass Geräte mit dem Betriebssystem iOS infiziert werden. Normalerweise müssen Sie sich in diesem Fall keine Sorgen machen. 

Ist der Virus für Android-Handys gefährlich?

Normalerweise nicht. Sie sollten dennoch die heruntergeladene JS-Datei aus dem Ordner Download entfernen.

Ich habe den Link auf dem Android-Smartphone, iPhone oder iPad angeklickt und die Datei evtl. heruntergeladen. Kann sich der Virus über das Netzwerk (LAN/WLAN) auf meine Computer verteilen?

Nein. Der Virus breitet sich über das Netzwerk aus, allerdings nur wenn er auf einem Windows-PC aktiv ist. Es besteht also nach derzeitigem Kenntnisstand keine Gefahr, wenn die Datei auf dem Smartphone heruntergeladen wurde.

Ich habe den Link auf meinem Mac angeklickt und versucht die Datei zu öffnen. Besteht eine Gefahr?

Grundsätzlich wird diese Datei unter OS X auf dem Mac nicht ausgeführt. Allerdings gibt es Ausnahmen, sodass es auf Ihre Konfiguration ankommt. Nutzen Sie beispielsweise die Virtualisierungssoftware Parallels und haben darin Windows installiert, dann kann der Virus gefährlich werden und auch die Inhalte des Mac beschädigen.

Ich habe auf meinem Windows-PC den Link angeklickt. Ist jetzt mein PC infiziert? Was ist zu tun?

Nach dem Anklicken des Links in der DHL-Mail wird eine JS-Datei heruntergeladen. Diese wird standardmäßig im Verzeichnis „Downloads“ gespeichert. Löschen Sie diese Datei. Der Trojaner wird erst dann aktiv, wenn die Datei geöffnet wird. Löschen Sie auch die E-Mail, um einen weiteren versehentlichen Klick auszuschließen.


Werbung


Ich habe die heruntergeladene Datei unter Windows geöffnet. Was muss ich tun?

Trennen Sie den Computer sofort vom Netzwerk oder schalten Sie ihn aus. Nach unseren aktuellen Erkenntnissen ist der Trojaner offensichtlich in der Lage, sich selbst über das interne Netzwerk zu verbrieten und andere PC’s im Netzwerk zu infizieren. Lassen Sie den Virus von einem Spezialisten entfernen, um größeren Schaden zu vermeiden. Nutzen Sie den Computer nicht weiter, sondern schalten Sie ihn vorsichtshalber aus.

Nach dem Anklicken des Links in der DHL-Mails bekam ich eine Fehlermeldung. Was ist da passiert?

Der Trojaner wird über verschiedene Webseiten verbreitet. Einige URLs wurden zu Ihrem Schutz bereits abgeschaltet, sodass der Virus nicht mehr geladen werden kann und Sie eine Fehlermeldung sehen. Sie müssen nichts weiter unternehmen.

Diese Warnungen sind gerade aktuell

2017-08-18 WhatsApp Spam Kettenbrief HM Geschenkkarte

WhatsApp Kettenbrief: 100 Euro Geschenkkarte von H&M ist Betrug

Vorsicht Falle. Mit einem WhatsApp-Kettenbrief und einer angeblichen Geschenkkarte von H & M über 100 € möchten Betrüger Sie in eine Falle locken. Wir erklären, was Sie anstelle des 100 […]

Rückruf Wolfshöher Brauerei Biere und Wasser

Brauerei Wolfshöher ruft mehrere Biere und Wassersorten zurück

Wie das Bundesamt für Verbraucherschutz und Lebensmittelsicherheit mitteilt, ruft die Wolfshöher Privatbrauerei diverse Flaschenbiere sowie Wassersorten zurück. Erfahren Sie den Grund für den Rückruf und wie Sie die Ware umtauschen können. War […]

Seriös oder Unseriös? Erfahrungen

safeseats.eu/safe-steps.de: Wie seriös ist der Onlineshop – Ihre Erfahrungen

In den letzten Tagen erkundigen sich immer mehr Leser nach den Onlineshops safeseats.eu und safe-steps.de. Wir haben uns den Onlineshop für Kinderartikel etwas näher angesehen. Außerdem benötigen wir die Erfahrungen […]

Symbolbild Gewinnspiel

Vorsicht Falle: Facebook Gewinnspiele im Check – Spielhaus von Straw

Gewinnspiele auf Facebook sind beliebt und üppig in dem sozialen Netzwerk vertreten. Allerdings entpuppen sich einige Aktionen als Kuckucksei. Sie können zwar teilnehmen, wissen aber nicht, was Sie bekommen. Auf […]

Facebook Phishing: Your page will be disabled – Ihre Seite wird deaktiviert! (Update)

Erneut haben Kriminelle Seitenbetreiber auf Facebook im Visier. Betrüger wollen in Besitz von Facebook-Zugangsdaten kommen. Betrüger geben sich als Facebook aus und hinterlassen auf Facebook-Seiten die Nachricht „Sehr geehrter Kunde, […]

Tasse Kaffee SpendeSpendieren Sie eine Tasse Tee oder Kaffee?

Empfinden Sie unsere Arbeit als wertvoll und hat Ihnen dieser Beitrag gefallen? Möchten Sie uns unterstützen? Dann spendieren Sie dem Redakteur einen Kaffee oder Tee. Ihre Wertschätzung motiviert uns und erhält Onlinewarnungen.de als unabhängiges Verbraucherportal. PayPal spenden | Überweisung | Weitere Möglichkeiten


Werbung

Mike Belschner
Über Mike Belschner 536 Artikel
Mike ist seit 1992 erfolgreicher Unternehmer und verfasst seit einigen Jahren redaktionelle Texte, News und Anleitungen zu IT-Themen. Spezialisiert hat er sich auf den Bereich Sicherheit und Betrug im Internet. Seit Oktober 2016 ist er Chefredakteur bei Onlinewarnungen.de.

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.




59 Kommentare zu DHL Virus Mail: Ihr DHL Paket kommt am … enthält Trojaner (Update)

  1. Habe heute bei einem Kunden ebenfalls eine selbe Mail erhalten. Im PDF-Anhang war ein Link „Hier klicken“. Direkt aus dem Postfach entfernt.
    Kaspersky setzen wir ein. Zum Glück hat die Person mich erst angerufen ohne die Mail zu öffnen. Der Absender war DHL_Express_Delivery und es waren zwei Anhänge dabei. Die Mail der betroffenen Person war im BCC, sodass man schnell verdacht schöpfen konnte.

  2. Bei mir wurde an die alte Adresse gesendet angeblich da wir aber sirt schon seit mehr als 2 jahren nicht mehr wohnen und eine nachsende für 6 monate hatten war ich sehr skeptisch und haben den link nicht geöffnet so lautete die Email
    Ihre Sendung wurde auf folgende Adresse………. abgeschickt, doch da es keiner bei der angegebener Adresse erwischt werden konnte, versuchten wir Sie per das von Ihnen angegebene Telefonnummer:…..erfolglos zu erzielen. Zurzeit befindet sich Ihrer Paket in dem zunächst zu Ihnen liegendem Paketzentrum.

    Im Anhang finden Sie Zustellungzettel, mit den Lieferinformationen. Sie können die Packung selbstständig abholen, oder melden Sie sich mit den Zustellungzettel Daten an um die Zustellungzeiten zu ändern.

    Viele Grüße,
    DHL Manager.

  3. So ein Sch…. habe die Mail im Geschäft geöffnet gehabt (Netzwerk…)! Aber meines Wissens keine weitere Datei angeklickt. Habe den Computer aber erst ca. 4 h später ausgeschaltet, als ich heimgegangen bin. Reicht es, wenn ich am Montag gleich nach dem Aufstarten die Datei im Download Folder lösche? Der Browser (FF) hat etwas gezickt und ich musste den Task beenden, da ich ich kein Tab mehr wechseln konnte, hab mir aber dabei nichts gedacht. Und jetzt?

  4. So sah sie bei mir aus, ich habe es mit dem Handy gelesen und leider auch zu schnell auf den Sendungsnummerlink gedrückt, der einen Download gestartet habe, auf den ich natürlich, als er fertig war, auch geklickt habe (an manchen Tagen eh…)
    Aber ich habe es so verstanden aus den vorhergehenden Kommentaren, dass es auf Android Geräten keinen Schaden anrichten kann. Bitte?!

    Gesendet: Dienstag, 02. Mai 2017 um 13:36 Uhr
    Von: “ DHL“
    An:
    Betreff: Ihr DHL Paket kommt am Dienstag, 14:00-19:00 Uhr.

    Guten Tag, …
    der Zustelltermin für Ihr Paket hat sich auf Dienstag, 14:00-19:00 Uhr geändert.

    Unter folgender Adresse können Sie den Status Ihres Pakets verfolgen:
    http://nolp.dhl.com.de/paket.action&email=….. (PDF Report)

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 087500444548

    Voraussichtliches Zustelldatum:
    Dienstag, 02. Mai
    14:00-19:00 Uhr

    Zustellort:
    Ihre gewünschte Lieferadresse

  5. Hallo!

    Erst einmal Danke & ein Lob für die Homepage! Hatte mir urlaubsbedingt die Mail erst heute angeguckt und dann dummerweise auch auf den Link geklickt: als sich dann eine Seite ‚uvasdoma.net‘ öffnete, wae mir natürlich auch klar, dass etwas nicht stimmt. Eine Datei habe ich nicht heruntergeladen, ich arbeite mit einem Mac.
    Im Finder/ Download wird auch keine Datei angezeigt. Antivir hat nichts gefunden. Handlungsbedarf sollte also nicht bestehen, oder?

    Viele Grüße & noch frohe Ostern…

  6. Absender: GHL Logistik-Team (513026@schwerterkirchen.de)
    Betreff: Ihr DHL Paket kommt am Montag, 11:00-18:00 Uhr.

    Guten Tag,
    der Zustelltermin für Ihr Paket hat sich auf Montag, 11:00-18:00 Uhr geändert.

    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    http://nolp.dhl.com.de/nextt-online-public.do&email= meine email @gmx.de. (JavaScript Report)

    Bitte beachten Sie, dass eine hundertprozentige Aktualität des Sendungsinformationssystems nicht gewährleistet werden kann.

  7. Hallo, ich habe heute auch eine e-mail bekommen in der steht das ich morgen ein Packet bekomme obwohl ich nichts bestellt habe.Da in dem kuzen Text mehrere Rechtschreibfehler sind kam mir das gleich komisch vor. Deshalb hab ich dirket mal hier auf der Page geschaut ob noch andere solch eine email bekommen haben.
    …hier der Text der email…

    Hallo lieber Kunde,
    der Zustelltermin für Ihr Paket hat sich auf Dienstag, 11:00-18:00 Uhr geändert.
    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    https://nolb.dhl.de/nextt-online-public.do?time=193801&report=JavaScript&email=. (JavaScript Report)
    Bitte beachten Sie, dass es einige Stunden dauern kann, bis die Informationen zu Ihrem Paket zur Verfügung stehen.

  8. Es ist passiert was nie passieren darf: Ich habe wahrscheinlich auf meinem Android-Gerät Link und Anhang geöffnet bzw geht der Anhang ja garnicht auf. Ich habe die Datei aus dem Downloadordner gelöscht und zwei Virenscanner laufen lassen. Was kann ich jetzt noch tun? Oder passiert bei Android vielleicht garnichts?

  9. Ist der Virus für Windows-Handys gefährlich? Ich habe den Link zwar angeklickt, aber bevor sich irgendetwas herunterladen konnte habe ich alles gelöscht. Kann trotzdem das Winphone infiziert sein?
    Schon mal danke für eine Antwort im voraus.

  10. Hat jemande Erfahrungen mit dem Virus unter LINUX ???

    Ich habe den Link aus der DHL-email Sendungsverfolgung angeklickt und ein
    JavaScript-Download wurde heruntergeladen. Dieser Download hat sich dann selbst automatisch geöffnet, da ich das leider so eingestellt hatte…

    Der Javascript-Download und die Email habe ich sofort gelöscht!

    Ich verwende Knoppix / Linux.
    Der Virenscanner Sophos für Linux hat nix gefunden.
    Ist mein Rechner nun infiziert?
    Was kann ich tun?

    Als ich mich danach mit google-Chrome bei freenet anmelden wollte, kam nach
    Eingabe des Passworts die Meldun DATENSCHUTZFEHLER und dass ich eine unsichere
    Verbindung habe. Von dort aus komme ich nur weiter, wenn ich bestätige, dass ich
    mit der unsicheren Verbindung weitermachen möchte…
    Bei anderen Diensten (facebook, web.de usw.) kann ich mich problemlos anmelden…
    Ist das nun Zufall oder hängt das mit dem heruntergeladenen JavaScript vom
    DHL-Trojaner zusammen?
    Wenn ich mit Firefox ins I-Net gehe, kann ich mich problemlos auch bei freenet
    anmelden.

  11. Liebe Redaktion,

    ich habe den Linken auf einem S3 mit dem Chromebrowser angeklickt.
    Es öffnete sich eine Seite mit Buchstaben und Zahlen und schloss sich wieder. Dann wurde der Bildschirm schwarz und baute sich wieder auf. Im DownloadOrdner war die js Datei zu finden, die ich gelöscht habe.

    Kann ich das Gerät weiterhin nutzen? Oder sollte man einen Spezialisten drauf schauen lassen?

    Es sind noch persönliche Daten vorhanden.

    Wie sieht es mit Autofillisten aus? Können diese übertragen werden? Oder whatsapp-database?

    Danke

    • Leider können wir keine vernünftige Ferndiagnose machen. Im Zweifelsfall empfehlen wir jedoch immer, dass Sie Ihren Computer von einen Spezialisten überprüfen lassen sollten.

      Viele Grüße

  12. Liebe Redaktion,
    ich habe den Link am PC angeklickt, aber soweit ich es erkennen kann, wurde nichts heruntergeladen (keine Datei im Download-Ordner). Mein Virenscanner (Windows Defender) findet nichts. Wie kann ich sichergehen, dass mein PC nicht befallen ist?
    Vielen Dank im Voraus!

  13. Wird der Virus in Zwischenzeit mit Norman oder Malwarebytes erkannte beziehungsweise behoben?

    Herzlichen Dank für die Rückmeldung.

  14. Hallo

    Ich hoffe ihr könnt mir helfen. Habe mit dem iPhone den link in der Mail angeklickt. Dann ging es ja nicht weiter.

    Danach hatte ich Angst einen Virus drauf zu haben hab mein Handy an den pc angeschlossen um dann das Handy zurückzu setzen. Kann sich der pc dadurch infiziert haben? Auf dem pc war im Download Ordner nichts zu finden dort müsste ja dann was liegen oder? Haben auch Kaspersky drauf auf dem pc…

    Liebe Grüße und herzlichen Dank

  15. Hallo,

    Kann sich nach Berlin Betätigung des links auf dem iPhone etwas auf das Netzwerk übertragen und infizieren? Zum Beispiel auch beim Einspielen eines neuen updates?

    Danke für Ihre Hilfe

  16. Es wurde schon mehrfach gesagt, dass das iPhone keine Probleme mit dem Link haben sollte.
    Ich habe ihn heute geöffnet und nur Buchstaben/Zahlensalat bekommen. Es handelt sich ja offenbar um eine .js-Datei. Im iOS Browser ist aber JavaScript aktiviert. Kann dennoch nichts passiert sein?

  17. Ich habe die mail am 05.04.2017 gegen 12:00 uhr bekommen mit dem Hinweis das der zustelltermin am 04.04.2017 zwischen 1300 und 1900 statt findet! Noch schlimmer ist das ich die E-Mail Adresse ausschließlich für geschäftliche Angelegenheiten nutze und noch nie irgendwie weitergegeben habe. Wurde aber als spam mail von yahoo erkannt!

  18. Ich habe die Sendungsverfolgung der gefasten DHL-Mail mit meinem iPhone geöffnet, dann aber sofort geschlossen und gelöscht. Eine halbe Stunde später hat jemand von Russland aus versucht, sich bei meinem Facebook-Account einzuloggen. Zufall oder kann das was mit der DHL-Mail zu tun haben? Das Facebook-Passwort habe ich inzwischen geändert…

  19. Hallo,
    diese Email hab ich heute erhalten. Interessant ist, dass ich heute tatsächlich ein Paket erwartet habe, aber bei Emailerhalt schon wusste, dass es bereits in der Filiale hinterlegt wurde. Da diese Mail zudem an eine andere Adresse geschickt wurde, von der ich nicht bestellt hatte, hab ich den Absender sofort gesperrt und auch nichts angeklickt. Noch zur Info: Mein System ist Windows, Emailprogramm outlook und der Virenscanner Avira, der diese Mail nicht als infiziert erkannt hat. Die Email wurde auch nicht als SPAM eingestuft.
    Hier nun die Email in Textversion (meine Emailadresse hab ich ersetzt durch MEINEEMAILADRESSE:

    Absender:
    DHL Logistik-Spezialist

    Hallo lieber Kunde,
    der Zustelltermin für Ihr Paket hat sich auf Mittwoch, 13:00-18:00 Uhr geändert.
    https://nolb.dhl.de/nextt-online-public.do?time=135101&email=MEINEEMAILADRESSE . (JavaScript Report)

    Bitte beachten Sie, dass eine hundertprozentige Aktualität des Sendungsinformationssystems nicht gewährleistet werden kann.

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 868945815759

    Voraussichtliches Zustelldatum:
    Mittwoch, 05. April
    13:00-18:00 Uhr

    Zustellort:
    Ihre gewünschte Lieferadresse

    [RU:06W7302MM968]

    Viele Grüße
    h.schmitt

  20. Hallo,

    ich habe – da ich ein Paket erwarte und im Stress war – den Link auf meinem Android-Handy angeklickt und auch den Download versucht zu öffnen. Als das nicht funktioniert hat, habe ich ihn gelöscht und mir den Absender genauer angesehen… Das hätte ich zuerst machen sollen 🙁

    Ist es sinnvoll nun alle Online-Passwörter zu ändern, auch wenn es ein Android-Handy war, über das ich versucht habe die Datei zu öffnen?

    Für eine Rückmeldung wäre ich dankbar.

    Beste Grüße

    Lena

  21. Hallo, mir ginge es wie so vielen hier. Hatte gestern abends etwas bei amazon bestellt. Nachts kam dann wohl die email. Amazon hatte das Paket auf den 06.04. angemeldet. Hatte mich zwar gewundert,dass es jetzt gleich am nächsten Tag kommen soll. Aber ich war dann zu schnell und habe natürlich den Link ausgelöst auf dem Android Handy. Es erfolgte ein Download. Das kam mir dann komisch vor. Habe als ich den Fehler bemerkt habe, sofort den Download gelöscht und die Mail dazu. Habe alle Caches geleert und an unserem PC alle Passwörter geändert. Kann ich jetzt davon ausgehen, dass das Handy wieder sicher ist? Denn wenn ich mich da jetzt wieder anmelde, hätten der Virus ja auch die neuen Passwörter oder? Normalerweise schaue ich immer genau hin. Öffne auch immer den Absender, denn daran erkennt man ja oft die Phishing Mails. Naja hoffe es ist jetzt ok. Würde mich über einen kurzen Kommentan von Ihnen freuen.

    LG
    Dagmar Bohn

  22. Habe diverse Kollegen, die den Link angeklickt haben.
    ESET Endpoint Antivirus hat die Download-Verbindung blockiert,
    immer gut zu wissen, dass man (ziemlich) save ist 🙂

  23. Hilfe, ich habe die Mail geöffnet und draufgeklickt. Dann wurde für mich als Laien ein Quellcode geöffnet. Da ich dachte, dhl hat Probleme mit der Internetseite, habe ich es später nochmals gemacht. Gleiches Ergebnis.
    Beim durchsuchen mit Kaspersky würde nichts gefunden. Muss ich mir Sorgen machen?

  24. Hallo,
    Habe da ich wirklich ein Paket erwarte gedacht die Mail ist echt und da ich im Stress war ist mir das Script erst später aufgefallen. Es handelt sich um ein Android Handy. Habe schon alle Passwörter auf einem anderen Gerät geändert, Viren und Malwarescan hat nichts ergeben. Kann ich dann davon ausgehen das nichts passiert ist oder besteht noch eine Gefahr?

  25. Hallo lieber Kunde,
    der Zustelltermin fÌr Ihr Paket hat sich auf Dienstag, 12:00-19:00 Uhr geÀndert.

    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    https://nolp.dhl.com.de/set_identcodes.do?time=065701&email=. (JavaScript Report)

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 047671486495
    Sendung verfolgen
    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    12:00-19:00 Uhr
    Zustellort:
    Ihre gewÃŒnschte Lieferadresse

    [commMgrTok:68OHQ1994GHKHX153]
    %rand%

    Nochmal Danke für die Warnung!
    Ja bei mir wurde auch der selbe Tag genannt, der war. Ich habe die allerdings erst Abends gesehen und war nicht so im stress- zum Glück.
    Thunderbird hat die E-Mail glücklicherweise auch als möglischen Phishing markiert.

  26. Hallo lieber Kunde,
    der Zustelltermin für Ihr Paket hat sich auf Dienstag, 12:00-17:00 Uhr geändert.

    Klicken Sie dazu einfach auf den folgenden Link, der Sie zum Sendungsinformationssytem leiten wird:
    http://nolp.dhl.com.de/paket.action?time=165201&email. (JavaScript Report)

    Bitte beachten Sie, dass es einige Stunden dauern kann, bis die Informationen zu Ihrem Paket zur Verfügung stehen.

    ALLE INFORMATIONEN AUF EINEN BLICK:

    Paket von:
    Sendungsnummer 939252468492
    Sendung verfolgen
    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    12:00-17:00 Uhr

  27. Danke für die Infos!

    Gibt es von euch noch ein „offizielles“ Statement zum Thema iPhone? Sind ja bisher nur Spekulationen oder?

    Danke und Gruß

  28. Ich habe diese DHL- Email erhalten. Was mir aus den bisherigen Ausführungen nicht klar wird, ist mein System gefährdet, wenn ich das Mail geöffnet, jedoch den Link nicht angeklickt habe? Im obersten Abschnitt dieser Site steht geschrieben, dass auch das Mail auf keinen Fall geöffnet werden soll.

  29. Habe die Mail am 04.04.2017 um 04;54 erhalten.

    Mail Adresse: „m.wojciechowski@autoap.com.pl“

    Die Mail ist wirklich gut gemacht, da hat sich jemand wirklich mühe gegeben. Habs nur an der Absende-Mailadresse erkannt (aber auch erst als ich auf Details geklickt hab).

    Ist schon bekannt was der Trojaner macht? Bzw. auf was für Daten er ausgelegt ist?

  30. Mail erhalten am Dienstag, 04.04.2017 um 14.10 Uhr

    Voraussichtliches Zustelldatum:
    Dienstag, 04. April
    13:00-18:00 Uhr

    Fälschung erkannt an Absender-Adresse und von Anzeige abweichendem Link

    Gute Beschreibung auf Ihrer Seite, besten Dank !

  31. Hallo zusammen, gibt es neue Erkenntnisse über infizierte Android-Geräte? Ich habe leider die Mail geöffnet und den Link angeklickt. Datei habe ich wieder gelöscht. Das Öffnen hat glücklicherweise nicht funktioniert. Es war spät und ich müde… 🙁 Danke für ein kurzes Feedback.

  32. Habe auch leider auf den Link geklickt. Es wurde auch ein Javascript gezogen.
    Diesen habe ich nicht aufgemacht und sofort aus dem Download Ordner gelöscht.
    Verwendetes System war Android 5.1 auf Handy.
    Handy ist inzwischen komplett zurückgesetzt, sollte ich trotzdem auf möglichen Konten die Passwörter ändern? Zb. von der Email-App, oder Google-Konto?

  33. Meine Sendung von Amazon war für den 5.4.2017 angekündigt und ein paar Stunden später kam die dhl Mail mit der Ankündigung der Lieferung für den 04.04.2017. Die ü waren für mich nicht normal und bei Amazon gab es keine Sendeverfolgung und die Nummer der dhl Mail zeigte auch nichts an, wenn ich die orig.Seite von dhl aufgerufen habe. Dann findet man diese Seite und löscht sofort die dhl Mail.

  34. Hallo Redaktion,

    super Arbeit, die Ihr leistet.

    Ich hatte auch so eine Mail bekommen, wirklich perfekt gefälscht, man erkennt die Fälschung nur am wirklichen Absender, nicht am angezeigten.

    Wenn man jedoch auf eine Sendung wartet, fällt man schnell darauf rein, so auch ich.

    Ich habe die Links versucht mit einem I-Phone zu öffnen, sind meine Geräte nun gefährdet und was kann ich dagegen tun?

    Vielen Dank im Voraus.

  35. Habe die Email heute auch auf meinem Handy geöffnet
    und trotz Skepsis auf den Link geklickt.
    Javascript ist auf dem Handy nicht aktiv, das Script
    konnte nicht ausgeführt werden.
    Ich gehe deshalb davon aus, dass kein Schaden enstanden ist.

  36. Auch ich habe heute leider voreilig auf den Link geklickt, allerdings mit meinem iOS Handy. Wird dadurch auch schädliche Software geladen? Kann ich diese entfernen?

  37. Hallo,

    Ich Holzkopf habe auf den Link mit der Sendungsnummer geklickt. Daraufhin hat sich eine Internetseite geöffnet und mir wurde ein HTML Code bzw. Gerüst dargestellt. Ich habe den Link mit meinem IPhone geöffnet, habe daraufhin mein IPhone zurück gesetzt und neue Passwörter vergeben. Habe ich noch was zu befürchten? Oder ist IOS von diesem Tojaner nicht betroffen?

  38. Hallo!
    Ich habe die Mail auch bekommen. Absender dhl.de (wilson42@gmx.de). Wenn der Link geklickt wurde, ist die Datei laut eurer Beschreibung auf dem Rechner, muss aber noch ausgeführt werden, um Schaden anrichten zu können?
    Wie kann ich denn jetzt in win10 die Datei finden, um sie zu löschen? Bin Laie, habe es ohne Erfolg mit dem Explorer versucht und DHL_Report_ als Suchbegriff angegeben. Könnt ihr mir helfen?

    • Wenn die Datei heruntergeladen wurde, befindet Sie sich normalerweise in dem Order „Download“.

      Einige URLs wurden zwischenzeitlich bereits gesperrt, sodass es nicht mehr zum Download kommt. Dann wird eine Fehlermeldung beim Klick auf den Link angezeigt.

      Viele Grüße aus der Redaktion

      • Habe die Datei auf meinem Android Telefon mit einem Texteditor geöffnet.
        Besteht auch dann keine Gefahr für Androidgeräte?

  39. E-Mail heute von DHL erhalten. Am Handy den Link angeklickt und die runtergeladene Datei öffnet sich im Browser Download Ordner. Ich hoffe es passiert nichts – war ein Androidhandy.

    • Habe ebenfalls die Mail auf dem Handy (Android) geöffnet und den Link angeklickt. Datei wurde runtergeladen, konnte aber nicht geöffnet werden. Die Datei habe ich wieder gelöscht.

      • Scheinbar verschlüsselt dieser Virus auch die Dateien auf der Festplatte. Laufwerk C schein nicht betroffen zu sein jedoch alle anderen.

        Kennt jemand den genauen Namen des Virus?

        Oder eine möglichkeit die Dateien zu entschlüsseln?