Vorsicht! Wer auf diese HD-Plus Mail herein fällt, zahl in der Regel doppelt – Das größte Ärgernis sind doch immer wieder E-Mails, in denen wir uns irgendwie angesprochen fühlen, aber über den perfekten Aufbau und nachvollziehbare Inhalte, im Eifer des Gefechtes in eine böse Falle gelockt werden!
So habe ich in diesen Tagen eine E-Mail vom HD+ Team aus Unterföhring in meinem Eingangsordner vorgefunden, die genau in diesen Zeitraum passt, wo ich eigentlich jedes Jahr das Abonnement für das digitale Fernsehen verlängern würde. Mit dem kleinen Unterschied, dass ich bis jetzt jedes Jahr die Verlängerung manuell über die offiziellen Seiten von hd-plus.de durchgeführt habe. Nach kurzer Prüfung der Mail erschien mir alles normal, der Text klang soweit schlüssig, die Adresse des Firmensitzes, sowie die Namen der Geschäftsführer passten. Also bislang nichts ungewöhnlich bzw. Unerwartetes.
Die E-Mail mit Absender webshop(AT)hd-plus.de hat folgenden Aufbau:
[su_note radius=”0″]
Lieber Kunde,
Wir bedanken uns für Ihr Vertrauen und wünschen gute Unterhaltung mit HD+ und den privaten Sendern in bester HD-Qualität.
Im Anhang finden Sie die Rechnung zur Ihrer Bestellung.
Den für Ihre HD+ Verlängerung notwendigen Verlängerungs Code haben wir für Sie auf der Rechnung noch einmal abgedruckt.
Mit freundlichen Grüßen
Ihr HD+ Team
Bitte beachten Sie, dass eine Antwort auf diese email nicht möglich ist. Bitte nutzen Sie bei Fragen zu Ihrer Bestellung das Kontaktformular auf unserer Internetseite www.hd-plus.de.
HD PLUS GmbH
Beta-Str. 1-10
85774 Unterföhring
UST-ID DE 249297389
Amtsgericht München, HRB 159479
Geschäftsführer: Wilfried Urner (Vors.), Georges Agnes, Martin Oberfrank, Timo Schneckenburger
[/su_note]
Wie schon aus dem Body-Text der Mail zu entnehmen, soll sich im Anhang der Mail, die Rechnung und der Verlängerungscode befinden. Soweit so gut, wenn da nicht der Anhang wäre „0105694150946.doc“. Warum ein Word-Dokument, dass macht mich stutzig. Kein seriöses Unternehmen verschickt Office-Dokumente! Kurzerhand lade ich das Dokument auf Verdacht bei Virustotal hoch und siehe da JackPot – 33 von 55 Scannern erkennen das Word-Dokument als infiziert – noch mal Glück gehabt!
Analyse von VirusTotal.com – https://www.virustotal.com/en/file/c43cfb1a5748df5d50f5e5c52a8e0015c727ca7bc902d383c61ddf7f09dacd6f/analysis/1450269090
botfrei.de – Unser Team hat sich das Word-Dokument genauer angeschaut. Bei näherer Betrachtung zeigt sich schnell, dass sich die Kriminellen bei diesem Office-Dokument wieder der VBA-Programmierung zunutze gemacht haben. Macro-Programmierung ist im Grunde nichts schädliches wird aber immer wieder gerne von Kriminellen genutzt, um automatisiert beim Öffnen eines Dokumentes diverse Prozesse zu starten, wie z.B. als Dropper, der weitere Schadprogramme (z.B. den Banking-Trojaner Zeus) aus dem Internet zu laden und auf dem System auszuführen!
Wie schon gesagt, verrichten Makros spezielle Aufgaben bzw. Automationen in einem Dokument. Wenn diese nicht benötigt und damit man keine böse Überraschung erleben möchte, sollte man grundsätzlich diese Funktionen in den Einstellungen deaktivieren. Lesen Sie dazu weiterführenden Beitrag „VBA-Malware ist noch lange nicht tot“
[su_note radius=”0″]Anmerkung: Mit Hilfe eines aktuellen und aktiven Antiviren-Schutzes, konnte der Anhang der gefälschten HD-Plus Spam im Vorfeld erkannt und entfernt werden![/su_note] Wie kann ich meinen Rechner schützen?
- Installieren Sie als Grunschutz eine Antivieren-Lösung!
- Deaktivieren Sie VBA-Makros in Word, Excel und anderen Office-Anwendungen
- Mit dem OfficeMalScanner überprüfen Sie Office-Anwendungen auf infizierte Macro-Viren
Grundsätzliche Tipps vom Botfrei-Team:
- Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge. Laden Sie keine angebotenen Programme herunter. Geben Sie niemals auf weiterführenden Links persönliche Daten an. Wenn Sie sich der Echtheit der E-Mail nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf. Offizielle Nachrichten sind oftmals im Account hinterlegt bzw. erkundigen Sie sich beim entsprechenden Support!
- Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten auch bei anderen Diensten.
- Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten Entfernungstool.
Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.
