Ein Trojaner in einer Mail mit Amazon.de als Absender

Gleich vorweg, Amazon verschickt natürlich keine Trojaner, aber es gibt Betrüger, die verwenden z.B. Amazon.de als Absenderadresse und versenden mit einer vermeintlichen Rechnung im Anhang einen Trojaner.

Als PC-Anwender ist man einiges gewohnt. Paypal-Abrechnungen, die keine sind (Paypal verschickt niemals Abrechnungen genau wie eine Bank niemals Kontoauszüge als Anhang versenden würde), Rechnungen und Mahnungen zu Produkten, die man nie bestellt hat, und eben auch Rechnungen von Amazon. Letzteres klingt nicht weitergeholt, denn unter dem Dach von Amazon tätige Händler verschicken natürlich auch Rechnungen als Anhang als Folge einer Bestellung bei Amazon. Wenn die Mail von „Amazon.de“ aber keine Bestellnummer enthält, sollte man schon misstrauisch werden.

Normalerweise lösche ich solche Mails sofort, dieses Mal war ich neugierig. Mich hat es interessiert, was sich die Betrüger haben einfallen lassen oder, ob vielleicht doch Amazon ausnahmsweise einmal nachlässig war und eine Rechnung ohne Angabe einer Bestellnummer verschickt hatte. Immerhin traf die Mail über jene Adresse ein, die ich in erster Linie für Bestellungen verwende. Aber bereits beim Schreiben dieses Blog-Eintrags wurde mir klar, dass Amazon niemals ein solcher Lapsus unterlaufen würde. Ein perfekte Logistik mit der Präzision eines Schweizer Uhrwerks und den Charme eines Containerterminals macht keine Fehler. Aber ich schweife ab.

Die Vorgehensweise für die „Analyse“ eines verdächtigen Inhalts in Gestalt einer Zip-Datei besteht darin, den Anhang zu speichern, am besten in einem leeren Verzeichnis, wenngleich dies keine Rolle spielt, und die Datei dann mit Windows Defender oder Malwarebytes zu untersuchen. Dazu muss die Datei lediglich mit der rechten Maustaste angeklickt werden.

Es ist interessant und auch ein wenig irritierend, dass das hochgelobte Antivirenprogramm Malwareybtes in der Zip-Datei nichts Verdächtiges fand, während Windows Defender. der in der Vergangenheit eigentlich keinen ganz so guten Ruf was seine Zuverlässigkeit angeht genoss, einen bekannten Trojaner (Nymain) anzeigte, der weitere Schadprogramme aus dem Internet nachlädt. Soweit kam es bei mir zum Glück nicht, da ich den Trojaner durch Defender unter Quarantäne stellen ließ. Dadurch wird die Datei nicht gleich gelöscht, sondern lediglich in ein anderes Verzeichnis verschoben, in dem es keinen Schaden anrichten kann, z.B. C:\ProgramData\Microsoft\Windows Defender\Quarantine.

Weitere Infos zum Nymain-Trojaner gibt es beim BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/Avalanche/Schadsoftware/Nymaim.html

Trojaneralarm in einer Zip-Datei, die eine Rechnung von Amazon enthalten soll

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/Avalanche/Schadsoftware/Nymaim.html

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.