Trojaner: Ruckzahlung auf PayPal-Guthaben

Und wieder kommt Trojanisches Pferd im PayPal-Kleid. Der Inhalt ist wie immer häßlich – eine Zip_Datei PayPal_Teilruckzahlung.zip mit einem ausführbaren Programm PayPal_Teilruckzahlung.pdf.exe. Diesmal wird eine Teilrückzahlung ohne Umlaute versprochen. Lieber Krimineller, die deutschen PayPal Nachrichten kommen mit Umlauten! Das Geld für die „Tüddelchen“ hat PayPal noch über. An den Umlaut-Doppelpunkten müssen wir trotz Griechenland nicht sparen.

Spam: PayPal_Teilruckzahlung

Text der Mail:

Guten Tag!

GmbH hat Ihnen soeben eine Teilruckzahlung von ˆ291,99 EUR fur Ihren Einkauf gesendet.

Wenn Sie Fragen zu dieser Ruckzahlung haben, wenden Sie sich bitte an GmbH.

Der Ruckzahlungsbetrag wird direkt Ihrem PayPal-Konto gutgeschrieben.

Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoubersicht. Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.

Details der ursprunglichen Transaktion: Mehr Details in der beigefugten Datei
Rechnungsnummer: K83918308889015633155
Ihr Team von PayPal

Da fragt man sich: Wer ist GmbH? Und wer fällt darauf rein?

8 Kommentare

  1. Genau diese Email habe ich heute erhalten und bin stutzig geworden, da ich seit vielen Monaten per Paypal nichts gekauft habe.
    Was mache ich jetzt mit dieser Email? Reicht ein einfaches Löschen?
    LG

    1. Einfach löschen reicht. Alles andere wäre zu kompliziert. Ich würde meinen Virenscanner auf aktuelle Signaturen prüfen. Wenn nicht jetzt, dann sollte er spätestens nach einem Update anschlagen. Wer den Anhang aber vorher öffnet, für den ist es dann zu spät. Er darf sich dann „rühmen“ Teil eines Bot-Netzes zu sein.

      Gruß – Thomas

  2. Ich depp habe auf den Anhang geklickt. Habe zwei Minuten vorher auch was mit PayPal gezahlt. Mein Virenscanner ist nicht angesprungen.
    Was muss ich jetzt tun?

    1. Gute Frage. Erstmal den Rechner vom Netz nehmen.

      Wurde nur das Archiv geöffnet oder auch das Programm im Archiv gestartet? Wenn Du auch das Programm im Archiv gestartet hast, dann tippe ich auf Neu-Installation.

      In der Regel setzen diese Trojaner sich in der Registry unter dem Schlüssel „Run“ fest, um beim Neustart wieder aufgerufen zu werden. Aber es gibt noch mehr Möglichkeiten. Eine händische Entfernung ist nur etwas für Fachleute – richtige Fachleute.

      Nach der Neu-Installation Vorsicht mit den alten Daten, die können verseucht sein und dann geht das Spiel von vorne los. Alle Programme von CD/DVD neu installieren, nicht von Kopien auf der Festplatte. Aus dem Netz neu laden, keine alten Installationsprogramme von der Festplatte nehmen.

      Aber ich bin kein Windows Fachmann. Gibt es eigentlich noch die Removal-Tools oder kommen die mit den Viren und Trojanern nicht mehr mit?

  3. Habe diese mail auch heute bekommen und leider geöffnet, weil ich z.Zt. „Käuferschutz“ bei paypal beantragt habe und deshalb fast täglich eine mail von „servive@paypal.de“ bekomme.

    Außerdem entspricht die in der falschen mail angegebene Rückzahlungssumme exakt dem Betrag, den ich von paypal zurück erwarte. Zufall ? Kann ich kaum glauben, sieht eher so aus, als wüssten die Ganoven bestens Bescheid über meinen Schriftverkehr mit paypal.

    Avira hat das Ding allerdings in Quarantäne verschoben, wo ich es gelöscht habe.

  4. Hallo zusammen.
    Ich bin heute (nach vielen Jahren) leider Opfer dieser Mail geworden.
    Nun meine Frage: Ich habe den Anhang geöffnet und Commodo hat den Trojaner erkannt und in Quaratäne verschoben. Daraufhin habe ich die Mail gelöscht, Commodo nochmal auf Aktualität überprüft und dann durchlaufen lassen. Commodo hat dann 2 dieser PayPal-Trojaner entdeckt und in Quarantäne verschoben wo ich sie dann gelöscht habe. Bei erneuter Virenprüfung war kein Trojaner mehr zu finden. Ist mein Pc sicher oder muß ich mich noch mal intensiver darum kümmern (Neuinstallation was sehr schade wäre)?

    1. Wenn Du die angebliche PDF-Datei im Anhang der Archive nicht früher schon einmal geöffnet hast, ist alles in Ordnung. Dann musst Du nichts weiter tun.

Kommentare sind geschlossen.