![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute noch eine dringende Warnung an Windows-Nutzer vor E-Mail-Anh\u00e4ngen. Wer einen vorgeblich \u00fcber WeTransfer bereitgestellten Anhang erh\u00e4lt, l\u00e4uft Gefahr, sich einen Trojaner einzufangen.<\/p>\nHeute noch eine dringende Warnung an Windows-Nutzer vor E-Mail-Anh\u00e4ngen. Wer einen vorgeblich \u00fcber WeTransfer bereitgestellten Anhang erh\u00e4lt, l\u00e4uft Gefahr, sich einen Trojaner einzufangen.<\/p>\n
<\/p>\n
Wie heise.de hier schreibt<\/a>, l\u00e4uft derzeit eine Spam-Welle, bei der Mails gef\u00e4lscht werden. Der Anbieter WeTransfer wird eigentlich nur von seinem Namen als Vehikel genutzt, aer der Dienst ist noch nicht einmal involviert. Die gef\u00e4lschte Mail ist den Nachrichten, die WeTransfer versandt werden, t\u00e4uschend \u00e4hnlich nachempfunden. Klickt der Nutzer auf den Anhang, um diesen herunterzuladen, enth\u00e4lt er einen .JS-Datei, gepackt in einem ZIP-Archiv. Entpackt man das ZIP-Archiv und f\u00fchrt die .JS-Datei per Doppelklick aus, l\u00e4dt diese einen Trojaner nach. Dieser Teil des Angriffswegs ist bestens bekannt. <\/p>\n Wer die Mail aufmerksam anschaut, dem sollte bereits auffallen, dass diese nicht von WeTransfer stammt. Bei WeTransfer werden auch keine .JS-Dateien zum Download in gepackten ZIP-Archiven versandt, die dann per Windows Script Host einen Downloader starten. Der Download-Link f\u00fcr den angeblichen WeTransfer-Anhang verweist auch nicht auf die Domain wetransfer.com<\/em>. Also gilt es, die Mail sofort zu l\u00f6schen. Weitere Details finden sich bei heise.de. Eine weitere (\u00e4ltere) Analyse findet sich auf dieser tschechischen Webseite<\/a> (in Englisch). Hier der Text der englischsprachigen E-Mail. <\/p>\n Iazalde.Ludwig@alpestour.com Der in der E-Mail angegebene Link verweist dann aber bereits auf eine (vermutlich gehackte) Webseite: <\/p>\n https:\/\/ www dot cubbyusercontent dot com\/ pl \/ SageAccts+2016-06-29.zip\/_24cfcb038b1b4223ae0b4d0cc41ecdbe<\/em> <\/p>\n Dort wird eine Datei SageAccts 2016-06-29.zip <\/em>zum Download angeboten, die die Trojaner enth\u00e4lt. Kaspersky erkennt die .JS-Datei als Trojan-Downloader.Script.Generic<\/em>. <\/p>\n Der Ansatz ist \u00fcbrigens nicht ganz neu, bereits im Oktober 2015 wurde ein solcher Ansatz in diesem Blog-Post dokumentiert (siehe obigen Screenshot). Neu ist wohl, dass die Mails jetzt auch auf deutsch kommen. <\/p>\n Grunds\u00e4tzlich sollte man zwischenzeitlich alle Mails sehr kritisch bewerten, da aktuell gro\u00dfe Spam-Wellen rollen, die auch die \u00fcblichen Spam-Filter \u00fcberwinden. Bei 1&1 kommen zwischenzeitlich t\u00e4glich Spam-Mails durch den Filter. Also: Selbst bei Mails, die von bekannten Absendern stammen, den Anhang mit Verstand klassifizieren. Gepackte .JS-Dateien oder .exe-Programe geh\u00f6ren nicht zu den Anh\u00e4ngen, die ich akzeptiere. Bei Links sollte man sich die URL auf die verwiesen wird, im Mail-Client ansehen. <\/p>\n Wie man den Windows Script Host unter Windows f\u00fcr einzelne Benutzer oder f\u00fcr die gesamte Maschine deaktiviert, habe ich im Beitrag RAA-Malware: Ransomware + Trojaner und die Kur dagegen<\/a> beschrieben.<\/p>\n \u00c4hnliche Artikel:<\/strong> Heute noch eine dringende Warnung an Windows-Nutzer vor E-Mail-Anh\u00e4ngen. Wer einen vorgeblich \u00fcber WeTransfer bereitgestellten Anhang erh\u00e4lt, l\u00e4uft Gefahr, sich einen Trojaner einzufangen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4353,1107,5116,4325],"class_list":["post-179101","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-mail","tag-trojaner","tag-wetransfer","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/179101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=179101"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/179101\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=179101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=179101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=179101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}WeTransfer<\/a> ist eigentlich ein sinnvoller Dienst, mit dem man gro\u00dfe Dateien per Mail verschicken kann \u2013 der Nutzer bekommt eine Mail von WeTransfer mit einem Link, um die Datei \u00fcber WeTransfer abrufen und herunterladen zu k\u00f6nnen.<\/p>\n
\nIazalde.Ludwig@alpestour.com has sent you a file via WeTransfer<\/h5>\n
sent you some files
The updated agreement with RTS Consulting
Download
Files (6.24 MB total)
SageAccts 2016-06-29.zip
Will be deleted on
30 June, 2016
Get more out of WeTransfer, get Plus
About WeTransfer Contact Legal Powered by Amazon Web Services To make sure you can receive our emails, please add noreply@wetransfer.com to your trusted contacts <\/p>\n
\n![\"WeTransfer](\"https:\/\/i.imgur.com\/jiN556f.jpg\" "\\"WeTransfer")
(Source: blog.dynamoo.com<\/a>) <\/p>\nAbwehrma\u00dfnahmen<\/h3>\n<\/p>\n
B\u00f6sartige JavaScript E-Mail-Flut erreicht Europa<\/a>
RAA-Malware: Ransomware + Trojaner und die Kur dagegen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"