Warnung

Trojaner ist als Auftragsbestätigung von o2 DSL getarnt

Gefährlicher Mail-Anhang ist als PDF-File getarnte EXE-Datei
Von

Im ZIP-Programm erscheint der Virus als PDF getarnt Im ZIP-Programm erscheint der Virus als PDF getarnt. Galerie: Klick aufs Bild!
Screenshot: teltarif.de / Henning Gajek Wer in diesen Tagen eine E-Mail vom Absender "dsl-kundenservice@cc.o2online.de" erhält, sollte be­sonders vor­sichtig sein. Zwar wird im Betreff sogar eine o2-DSL-Kunden­nummer genannt (vormals Alice/Hanse­net), aber der Anhang enthält alles andere als eine Auf­trags­be­stätigung, sondern ist ge­fähr­lich. In einer als ZIP verpackten Datei könnte sich eine Datei mit dem Namen "Ihre-o2-Bestellung-123456.pdf   .exe" befinden (wobei die Zahlen unter­schied­lich sein können. Wer sich ein bischen auskennt, ahnt gleich, dass eine als PDF harmlos er­scheinende Datei mit "___.exe" so ge­schickt ver­längert wurde, dass man die Gefahr nicht gleich sieht (siehe Bilder). Im ZIP-Programm erscheint der Virus als PDF getarnt Im ZIP-Programm erscheint der Virus als PDF getarnt. Galerie: Klick aufs Bild!
Screenshot: teltarif.de / Henning Gajek

Nicht alle gängigen Virenscanner erkennen die Gefahr, der populäre Virenscanner Avira nennt ihn beispielsweise "TR/Spy.Zbot.aec", bei Kaspersky heißt er "Trojan-Dropper.Win32.Dorifel.afij" und der slowakische Virenscanner "ESET" nennt ihn "Wauchos.I". Bei Tests mit der Seite www.virustotal.com am Dienstag Abend wurde er von Microsoft Security Essentials und Norman beispielsweise noch nicht erkannt.

Gefährlich: E-Mail-Adressen von o2online werden verwendet

Der Virus bei Avira Der Virus bei Avira
Screenshot: teltarif.de / Henning Gajek Die Autoren dieser Viren-E-Mail haben sich richtig Mühe gegeben, in den Headerdaten sind E-Mail-Adressen von o2online wie auch von Hansenet zu finden. Eins ist klar: Von offiziellen Stellen bei o2, wo die Kundendaten verwaltet oder Rechnungen versendet werden, sind diese E-Mails jedenfalls nicht.

Das Schadprogramm ist ein trojanisches Pferd, das vermutlich weiteren Schadcode nachlädt und versucht, den Rechner auszuspionieren oder durch eine Fernsteuerung zweckzuentfremden. Sollte der Anhang irrtümlich gestartet worden sein, sollte der Rechner danach mit verschiedenen Virenscannern oder Spezialtools gründlich durchsucht werden. Wenn es sich um einen wichtigen "sicherheitsrelevanten" Rechner handelt, wäre nach der Erstellung eines Backups entweder ein Zurücksetzen oder noch besser ein frisches Aufsetzen des ganzen Systems in Erwägung zu ziehen.

Wer seine Telefon-Rechnungen und Auftragsbestätigungen per E-Mail erhält, sollte sich dazu eigene (getrennte) E-Mail Adressen einrichten. Empfängt man seine Rechnungen unter der Adresse A und die verdächtige E-Mail wird an Adresse B geschickt, ist das ein weiteres Indiz, dass es es sich um Malware handeln könnte. Wer eine Domain sein Eigen nennt, könnte beispielsweise eine Adresse wie rechnung@domainname nehmen.

Mehr zum Thema Trojaner