Am 02.04.2019 ging eine E-Mail von der Heute GmbH aus Solingen bei uns ein, mit der (angeblich) ein Angebot eingeholt werden soll.

Nun ist es nicht ungewöhnlich, dass unsere Webagentur auf die Realisation neuer Websites angesprochen wird. Es ist auch nicht ungewöhnlich, dass direkt nach einem Angebot gefragt wird. Auf den ersten Blick hat die E-Mail auch (relativ) seriös gewirkt. Es gibt die Heute GmbH in Solingen. Auch die Adressangabe in der E-Mail stimmt. Letzteres ist allerdings kein Hexenwerk. Denn die Adresse ist nicht nur im Impressum der Heute GmbH-Website zu finden, sondern auf jeder Inhaltsseite unten im Footer.

Auch die Absender E-Mail-Adresse scheint auf den ersten Blick korrekt zu sein. Aber es handelt sich um eine Viren Mail mit gefälschtem Absender.

Viren Mails mit gefälschtem Absender

Stutzig machten uns bei dieser E-Mail verschiedene Dinge:

• Sie ist an „undisclosed-recipients“ adressiert. Nun ist es nicht ungewöhnlich, wenn sich Unternehmen von mehreren Anbietern Angebote erstellen lassen. Aber es stellt ein plumpes Vorgehen dar, das so offenkundig zu tun.
• Die Anrede „Schönen Tag,“ wirkt ebenso wenig professionell wie der fordernde Text.
• Im Anhang befindet sich eine .iso-Datei. Diese muss man entweder speziell mounten oder auf eine CD bzw. DVD brennen. Es ist eher unwahrscheinlich, dass ein Unternehmen aus dem Branchenbereich der HEUTE Maschinenfabrik GmbH & Co. KG einen solchen Anhang verschickt.
• Und, das wichtigste: unser Virenscanner hat die E-Mail markiert und den Betreff geändert in: Message has a suspicious part :Angebot anfordern-10204-08-4.

Es stellt sich die Frage, warum ein offenbar seriöses Unternehmen wie die HEUTE Maschinenfabrik GmbH virenverseuchte E-Mails verschickt?

Viren Mail der Heute GmbH mit Virus

Handelt es sich vielleicht um eine E-Mail mit einer gefälschten Absenderadresse?
Um das zu prüfen, haben wir die E-Mail-Headerinformationen ausgelesen.

Ein Auszug:

Return-Path: <>
X-Original-To: […]
Delivered-To: […]
Received: from server.linux71.papaki.gr (server.linux71.papaki.gr [94.130.11.240])
by […]
for […]; Tue,  2 Apr 2019 15:40:41 +0200 (CEST)
Received: from webmail.lampstore.gr (localhost.localdomain [IPv6:::1])
by server.linux71.papaki.gr (Postfix) with ESMTPSA id 0B66D99C426;
Tue,  2 Apr 2019 16:27:54 +0300 (EEST)
Authentication-Results: server.linux71.papaki.gr;
spf=pass (sender IP is ::1) smtp.mailfrom= smtp.helo=webmail.lampstore.gr

[…]

X-PPP-Message-ID: <>
X-PPP-Vhost: lampstore.gr
X-KasLoop: m01ec852

Die E-Mail wurde offenbar über einen griechischen Server versendet. Die URL papaki.gr gibt es, dort ist ein Paralles Panel hinterlegt. Die Abfrage der IP über utrace.de (http://www.utrace.de/?query=94.130.11.240) ergab, dass der Provider die „D2 International Investment Ukraine Ltd.“ ist. Die IP scheint allerdings in Deutschland lokalisiert zu sein.

Offenbar hat der Versender der virenverseuchten E-Mail die Absenderadresse gefälscht. Es ist wohl auch davon auszugehen, dass bei der HEUTE GmbH kein Sascha Schönbeck beschäftigt ist. Sascha Schönbeck hätte bei einem Mittelständischen Unternehmen zudem auch eher seine Durchwahl als die Telefonnummer der Zentrale angegeben.

» Mehr zu Viren und Trojanern

Stichworte: Viren Mails mit gefälschtem Absender, Mail der Heute GmbH mit Virus

Der Beitrag Viren Mails mit gefälschtem Absender erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Eine wichtige Regel zum Schutz vor Viren, Trojanern und anderer Schadsoftware lautet, dass Software immer nur von vertrauenswürdigen Quellen bezogen werden sollte. Und natürlich, dass die heruntergeladene Datei vor dem Öffnen auf Viren geprüft wird.

OpenOffice mit Trojaner

Schon vor Jahren hatten „kreative Köpfe“ die Idee, das kostenlose OpenOffice auf ihrer Website kostenpflichtig anzubieten. Das hatte sich herumgesprochen und vermutlich zu drastischen „Umsatzeinbußen“ bei den Betrügern gesorgt.

Eine neuere Masche ist, dass über openoffice.de ein OpenOffice mit Trojaner in Umlauf gebracht wird. Das Tückische daran ist:

• Aufgrund der URL sowie der Aufmachung der Website wirkt das Portal zunächst seriös.
• Hinzu kommt, dass Google aktuell (Stand Ende Januar 2019) diese Website bei der Suche nach Open Office Download auf Platz 1 der Suchergebnisliste anzeigt.

Dazu ist nur anzumerken: „Danke“, Google!

Die offizielle Website von Apache OpenOffice zeigt Google bei dieser Suchbegriffskombination aktuell leider erst auf dem 3. Platz an. Hier ist ein sicherer Download des beliebten Textverarbeitungsprogramms möglich.

Wird nach der offiziellen Bezeichnung mit zusammengeschriebenem „OpenOffice“ gesucht (also nach OpenOffice Download) so listet Google openoffice.de aktuell erst auf Platz 7 und die offizielle OpenOffice-Website auf Platz 1 und 2. Ein kleiner Tippfehler oder die Unkenntnis bezüglich der offiziellen Schreibweise reicht also schon, um sich eine Menge Ärger einzuhandeln.

OpenOffice mit Virus

Wie sieht es mit openoffice.de aus? Die Website ist professionell aufgemacht und erweckt den Eindruck, hier an der richtigen Stelle zu sein, wenn man OpenOffice downloaden möchte. Ganz unten im Footer der Website steht allerdings:

OpenOffice.de ist nicht assoziiert mit der Apache Software Fondation bzw. der offiziellen Projekt Webseite: https://www.openoffice.org/de

Dass es sich um eine OpenOffice-Version mit Virus handelt, erfahren Sie auf der Website nicht. Wir haben in einer isolierten Systemumgebung den Versuch gewagt und OpenOffice von dort heruntergeladen. Der anschließende Virencheck mit Kaspersky ergab keine Sicherheitswarnungen.

Bei der Installation hingegen wachte Kaspersky auf und blendete eine Warnung ein: OpenOffice mit Trojaner. Der Schutz funktionierte: Kaspersky konnte den Trojaner isolieren und im Zuge eines Computerneustarts vollständige löschen. Anschließend wurde von Kaspersky noch automatisch eine vollständige Systemüberprüfung durchgeführt.

Sie möchten auf die Gefahr hinweisen? Teilen Sie diesen Artikel bitte über ihr soziales Netzwerk.
Entsprechende Icons finden sie unterhalb des Artikels.

Stichworte: OpenOffice mit Trojaner, OpenOffice mit Virus

Der Beitrag OpenOffice mit Trojaner, OpenOffice mit Virus erschien zuerst auf Webdesign Tipps / Webdesign Blog.