In letzter Zeit kursieren viele Mails umher, die ein ganz bestimmtes Aussehen haben.

Die Mails haben den Absender: kundensupport@ebay.de (das ist aber nur eine gefakte Mailadresse).

Im Betreff steht meist: 7 Tage bis Ihre Kontosperrung

Als Anhang wird dann der eigentliche Trojaner mitgeführt und lautet: Ebay-Rechnung.pdf.exe

Die Gefahr besteht natürlich darin, dass der Anhang als vermeintliche PDF geöffnet wird, sich jedoch ein Trojaner ins System schleust, der u.a. als TR/Dldr.Agent bezeichnet wird.

Bei den meisten Windows-Installationen ist der Windows-Explorer so eingestellt, dass die Dateiendungen (hier die .exe) nicht angezeigt wird. Das führt dazu, dass aus Ebay-Rechnung.pdf.exe ein Ebay-Rechnung.pdf wird. Der “normale” User erkennt nicht, dass es sich um eine .exe und damit selbstausführende Datei handelt.

Selbstkontrolle:
Wenn man sich Windows-Explorer befindet, kann man schauen ob unter Ordneroptionen –> Ansicht –> der Haken gesetzt ist bei: “Erweiterungen bei bekannten Dateitypen aussblenden“. Diesen bitte unbedingt entfernen.

Wer schon den Fehler gemacht hat und den Anhang geöffnet hat, kann folgendes machen:

Im Systemverzeichnis (meist Windows), wird eine Datei mit einer zufälligen Buchstabenkombination und der Endung .exe abgelegt. Diese wird bei jedem Neustart des Rechners erneut gestartet, dafür sorgt ein Eintrag in der Registry unter: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Dort wird ebenfalls ein Schlüssel erzeugt, mit einem zufälligen Namen, der die Datei aus dem Windows-Verzeichnis aufruft. Diesen Schlüssel können sie getrost löschen und die Datei aus dem Windows-Verzeichnis ebenfalls.

Danach noch einmal ihr Antivirenprogramm drüber laufen lassen……