Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Lieferschein

Dienstag, 22. Dezember 2015, 13:17 Uhr

Kurzes Spamkompetenztraining:

Sehr geehrte Damen und Herren,

in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.

Bei Fragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen

Textilreinigung Klaiber
Gewerbestrasse 39
78054 VS – Schwenningen
Telefon 07720 / 33xxx
Telefax 07720 / 33xxx
service (at) textilreinigung (strich) klaiber (punkt) de

Ich habe die Telefonnummern mal unkenntlich gemacht. Es handelt sich leider nicht um die Telefonnummern der Spammer, denen ich einiges Unfreundliche zu sagen hätte.

Eine Unternehmung, von der ich noch niemals etwas gehört habe, sendet mir eine Mail. Angeblich bin ich dort Kunde. Sie kennen aber nicht meinen Namen. In der Mail steht kein Wort darüber, um was es eigentlich geht, weil vermutlich kein Mailpapier mehr übrig war. Um das herauszubekommen, muss man einen Anhang öffnen.

Was wird wohl im Anhang sein?

Bingo! Es ist eine Schadsoftware.

In meinem Fall handelt es sich um eine 97,3 KiB große Datei für Microsoft Word. Diese… moment… *tackertacker*

$ file 11815--113686.doc | sed 's/,/\n/g' | sed 's/^ *//'
11815--113686.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Create Time/Date: Tue Dec 22 08:13:00 2015
Last Saved Time/Date: Tue Dec 22 08:13:00 2015
Number of Pages: 1
Number of Words: 0
Number of Characters: 0
Security: 0
$ _

…hat eine Seite, auf der null Wörter stehen, kann also unmöglich der in der Spam versprochene Lieferschein sein. Die Bearbeitung ging ganz schnell, denn die Verbrecher haben nur kurz den Makrocode mit der Schadsoftware eingefügt, der beim Öffnen des Dokumentes ausgeführt werden soll.

Diese Schadsoftware wird zurzeit von den allermeisten Antivirus-Schlangenölen¹ nicht erkannt. Um so wichtiger, dass man derartige Versuche selbst erkennt. Praktisch jedes Mal, wenn in der Mail nichts Substanzielles steht und man nur über den Anhang erfahren kann, um was es eigentlich geht – natürlich gern mit alarmierender Formulierung im Betreff und in der Mail – handelt es sich um Schadsoftware im Anhang.

Es ist generell äußerste Vorsicht beim Umgang mit Mailanhängen geboten, und im Moment sind derartige Schadsoftware-Spams eine Pest.

¹Ich nenne Antivirus-Produkte zugegebenermaßen unsachlich „Schlangenöl“, weil sie wirkungslos und sogar gefährlich, also durchaus mit Quacksalberprodukten vergleichbar sind.

23 Kommentare für Lieferschein

  1. tux sagt:

    Die Textilreinigung Klaiber (die nun immerhin mehr potenzielle Kunden, weil Kenner hat) warnt auf ihrer Website vor dieser Schadsoftware, allerdings mit technisch unbedarften Worten.

    • Technisch unbedarfte Worte… Darum bin ich auch Textilreinigermeister und kein IT Facharbeiter.

      • tux sagt:

        Ah, n‘Tach, Meister! Für’s nächste Mal: Niemand hier „hackt Mailadressen“. Es tut nur jemand so, als sei er Sie. 🙂

      • Darum bin ich auch Textilreinigermeister und kein IT Facharbeiter

        Trotzdem: Erstmal danke für die „technisch unbedarften Worte“, die zumindest ein paar Empfänger warnen. 😉

        Natürlich handelt es sich nicht um einen Hack. (Also: Auf keinen Fall von irgendeinem Dienstleister übern Tisch ziehen lassen!) Ich kann jetzt auch eine E-Mail verfassen, die so aussieht, als käme sie von Barack Obama (oder von Papst Franziskus) und die auch den dazu passenden Absender hat. Das bekommt jeder aufgeweckte Fünfjährige hin.

        Ich kenne richtig große Unternehmen, die es überhaupt nicht hinbekommen haben, die Menschen vor solchen Spams zu warnen.

  2. Karl-Heinz Braun sagt:

    Sehr geehrter Herr Klaiber,

    gut argumentiert – Anerkennung, ohne ausfallend zu werden, was nicht immer einfach ist. Als früherer Immendinger freute ich mich trotzdem, Ihre „gefakte“ Nachricht bezüglich des Lieferscheines zu erhalten.

    Den obigen Ausführungen über mangelhafte Virusprogramme kann ich nicht zustimmen , mein G-Data hat diese Mail wie auch die vor Kurzem ebenfalls in ähnlicher Weise zugesandten Mails als schädlich erkannt und die Anhänge direkt entfernt.

    Frohe Festtage und einen guten Rutsch ins Neue Jahr für die ganze Firma Klaiber wünscht

    Charlie Braun

    • tux sagt:

      Glück gehabt mit Ihrem Virenscanner. Das war allerdings bestenfalls ein Zufallsfund.

    • Den obigen Ausführungen über mangelhafte Virusprogramme kann ich nicht zustimmen

      Der andersfarbige Text dieser Ausführungen ist ein Zeichen dafür, dass es sich um einen Link handelt. Da kann man draufklicken und sieht die Erkennung der Schadsoftware durch diverse Antivirus-Produkte.

      Manchmal hat man damit natürlich Glück. Aber sich aufs Glück zu verlassen, ist dumm. Und noch dümmer ists, dafür zu bezahlen, dass man sich aufs Glück verlassen muss.

  3. edyi sagt:

    Hallo, ich habe dummerweise den Anhang geöffnet.
    Ich habe einen Mac Rechner. Wird sich der Virus bei mir auch installiert haben, also sind auch mac`s betroffen ?
    Wenn ja was kann ich dagegen unternehmen ?
    Dank Euch

    • Ehrlich gesagt: Ich weiß es nicht. Ich weiß nicht einmal, ob es Microsoft Office noch für den Mac gibt und inwieweit das so makrokompatibel ist, dass auch Schadcode läuft

      Aber ich entwarne vorsichtig. Das Makro ist relativ klein und wird ein Nachlader sein, der den eigentlichen Schadcode herunterlädt. Ich glaube nicht, dass dabei an Macs gedacht wurde. Unmöglich ist es jedoch nicht.

      Vermutlich wirst du in einem guten Mac-Forum kompetentere Hilfe bekommen – da kann ich dich nur dorthin verweisen.

  4. Daniela sagt:

    Hallo,

    habe diese Mail heute auch bekommen und irrtümlich den Anhang geöffnet. Es war ein leeres Word-Dokument, welches ich, ohne sonst irgendetwas zu klicken, wieder geschlossen und die Mail gelöscht habe. Was kann/soll ich jetzt tun!?

    Danke

    • Wenn du dieses Dokument angeschaut hast und keine Meldung gesehen hast, dass du die Ausführung von Makros zulassen sollst, dann wurde das Makro ausgeführt und du hast jetzt einen Computer anderer Leute auf dem Tisch stehen.

      Ich kann dir nur empfehlen, deinen Rechner erstmal nicht wieder einzuschalten und dir von jemanden anderes ein bootfähiges Image des Antivirusherstellers deines Vertrauens runterladen zu lassen. Daraus machst du dann einen Datenträger (CD, DVD, USB-Stick) und bootest deinen Computer davon, ohne dass du das infizierte System selbst startest. Dafür musst du entweder das Boot-Menü im BIOS verwenden oder die Bootreihenfolge im BIOS ändern – wenn das für dich alles „böhmische Dörfer“ sind, dann bitte jemanden, der sich ein bisschen auskennt, um Hilfe (und schau dir dabei gleich ab, wie das geht, denn es ist keine Raketenwissenschaft und nicht einmal besonders schwierig). Mit einem bisschen Glück bekommst du damit den kriminellen Müll von deinem Rechner, ohne dass etwas Schlimmeres passiert.

      Und: Hab keine Angst, jemanden um Hilfe zu bitten! Es ist keine Schande, wenn man so irregeführt wird. Du brauchst dich dafür nicht zu schämen. Eine Schande ist es, was diese Verbrecher machen. Leider können die sich nicht schämen.

  5. Tim sagt:

    Hallo,
    ich habe die Datei gestern zufällig mit meinem Handy geöffnet was kann ich jetzt tun?

    • Hallo Tim,

      wenn dein Handy nicht gerade unter Windows Phone läuft (was sehr selten ist), dann ist dir mit an Sicherheit grenzender Wahrscheinlichkeit nichts passiert. Wenn du trotzdem aus irgendeinem Grund ganz sicher gehen willst oder musst, empfehle ich dir, das Handy auf den Werkszustand zurückzusetzen und dir von Neuem einzurichten – das wäre mit einem ziemlich vollständigen Datenverlust verbunden. Wie das geht, steht in der Dokumentation deines Handys- (Und ja, es gibt auch für Handys Backup-Apps, damit es nicht zu solchen Datenverlusten kommt.)

      Wenn das Handy unter Windows Phone läuft, wendest du dich am besten an Leute, die sich damit ein bisschen besser als ich auskennen. Es gibt mit Sicherheit gute Foren dafür. Ich kann dazu nur sagen: Alte Versionen von Windows Phone (oder Windows CE) dürften unempfindlich sein, denn Pocket Office konnte nichts und garantiert nicht diese Makros ausführen. Für moderne Versionen gilt das wohl nicht mehr… was ja einerseits gut ist, aber andererseits eben auch nicht so.

      Aber ich bin guter Dinge, dass nichts passiert sein wird.
      Der Nachtwächter

  6. Jan sagt:

    Na super…kurz vor Toresschluss drück ich auch 2x auf das Ding und…es passiert nix, zumindest nix für mich sichtbar. Nix öffnet sich o.ä..Bin ich jetzt schon infiziert? Das ist unser Hauptgeschäftsrechner, oh mann, fröhliche Weihnachtren….

    • Bin ich jetzt schon infiziert?

      Mit hoher Wahrscheinlichkeit: ja.

      Einmal die übliche Prozedur. Bootfähiges Image der Antivirus-Klitsche des Vertrauens runterladen, Stick oder DVD draus machen und davon booten, um den Rechner durchzuscannen, ohne dass irgendwelche Vollidioten sich darauf austoben können… in ein bis zwei Tagen sollte der Scheiß bei den Antivirus-Klitschen bekannt sein.

      Ich hoffe mal, ihr habt Backups.

      Ansonsten: Schöne Bescherung! 🙁

  7. Jasmin sagt:

    Hi,

    hab das dummerweise auch geöffnet. Gerade mir passiert das und ich google das danach… So ne sch….

    Ich hatte ein weißes Word-Dukument und es stand links oben “ Sicherheitswarnung: Macros wurden deaktiviert“ !

    Was heißt das denn genau? Die Kugel geben oder nochmal Glück gehabt?
    Danke schonmal für Eure Hilfe.

    LG Jasmin

    • Ein fröhliches Hallo, Jasmin,

      das heißt hoffentlich, dass du noch einmal Glück gehabt hast und das Word die Makros nicht ausgeführt hat. In neueren Versionen von MS Office ist die Makroausführung standardmäßig abgeschaltet. Aus Sicherheitsgründen. 😉

      Aber: Es ist für den Programmierer eines solchen Makros natürlich kein Problem, einfach eine Messagebox aufzumachen, in der genau dieser Text steht, wenn das Makro ausgeführt wird. Den Vollidioten, die so etwas machen, ist so etwas zuzutrauen, weil ja viele Leute beim Anblick eines leeren Dokumentes Verdacht schöpfen könnten.

      Mein Tipp: Sei vorsichtig optimisitisch und gib dir auf gar keinen Fall die Kugel! Die haben hier andere verdient. Wenn es für dich möglich ist, benutz den Rechner so zwei Tage lang nicht (also: nicht einschalten!) und mach dann einfach das, was ich weiter oben empfohlen habe. So bekommst du etwas mehr Sicherheit, dass dein Rechner weiterhin dir gehört und nicht irgendeinem Pack, das mit Handschellen besser bedient wäre.

      Wenn es dir völlig unmöglich ist, den Rechner in der „toten Zeit“ aus zu lassen, dann kämpf dich durch die Einstellungen für Microsoft Word und schau nach, ob Makros ausgeführt werden oder nicht. Wie du das herausbekommst, weiß ich nicht, weil ich Word nicht benutze. (Hier läuft nicht einmal ein Windows.) Aber ich bin mir sicher, dass du es mit einer Suchmaschine schnell herausbekommen kannst oder jemanden kennst, der es weiß. Wenn Makros nicht ausgeführt werden, dann hast du Glück gehabt und der Angriff ist fehlgeschlagen. Und ein bisschen Glück muss man ja auch manchmal haben… 😉

      Lass es dir gut gehen!
      Der Nachtwächter

      • Jasmin sagt:

        Vielen lieben Dank für die schnelle Antwort. Ich versuch das mal raus zubekommen per Google. Wenn ausgeführt wurde, dann ab zum Fachmann, ich nutze nur aber hab weiter keine Ahnung.

        Ich wünsch dir nen gesunden Rutsch und Danke für deine Turbo-Antwort.

        Liebe Grüße Jasmin

  8. Jasmin sagt:

    Hi Nachtwächter,

    ich bins nochmal, sorry fürs nerven…. Hatte eine etwas unruhige Nacht. Ich hab gestern nochmal mein AVG und den Hitman Pro (der bisher immer alles gefunden hat) durchlaufen lassen. Die haben beide aber nichts gefunden, das heißt ja aber noch nichts, ich weiß… 🙂

    Makros hab ich gegoogelt allerdings noch nicht rausgefunden, wo ich einsehen kann, ob welche ausgeführt wurden. Aber ich hab meine Einstellung dazu gefunden.

    Eingestellt bei mir ist „Alle Makros mit Benachrichtigung deaktivieren“

    Was sagt dir das als Fachmann?

    Ich werde mal kein Online-Banking von hier aus machen oder paypal, hab aber Roboform mit all meinen Passwörtern usw. Ich denke einige sollte ich da lieber mal rausschmeißen, oder?

    LG Jasmin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert