Ihr gemeinnütziger Verein für Information, Beratung, Bildung und Interessenvertretung.

Themen: Geld & Versicherungen | Digitale Welt Lebensmittel | Umwelt & Haushalt Gesundheit & Pflege | Energie | Reise & Mobilität | Verträge & Reklamation

Emotet: Gefährlicher Trojaner beantwortet empfangene E-Mails

Stand:

Der Trojaner kommt mit Spam-Mails oder in Nachrichten von Bekannten auf die Rechner seiner Opfer. Von dort verteilt er sich fast unbemerkt alleine weiter. Emotet arbeitet mit perfiden Tricks.

Das Wichtigste in Kürze:

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Trojaner Emotet.
  • Das Schadprogramm nistet sich auf den Rechnern seiner Opfer ein, lädt unbemerkt weitere Schadsoftware und verteilt sich selbst an gespeicherte Kontakte.
  • Dazu lässt es seine E-Mails so aussehen, als seien es Antworten auf früher verschickte Nachrichten.
Totenkopf in Softwarecode-Zeilen
On

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Emotet "eine der größten Bedrohungen durch Schadsoftware weltweit". Der Trojaner infiziert Firmen- und Privatrechner und hat bereits zu Schäden in Millionenhöhe geführt. Was macht ihn so gefährlich?

Emotet wird von Kriminellen vor allem über groß angelegte Spam-Kampagnen verteilt. Oft sind es Mails mit angeblichen Rechnungen im Anhang. Hierbei gilt generell der Grundsatz: Öffnen Sie keine Anhänge von unbekannten Absendern! Fragen Sie im Zweifel telefonisch nach, ob Ihnen tatsächlich eine Rechnung per E-Mail geschickt wurde.

Emotet liest Mails im Posteingang und antwortet darauf, ohne dass man es mitbekommt.

Besonders tückisch wird es, wenn der Absender der E-Mail offenbar jemand ist, dem Sie kürzlich geschrieben haben. Emotet sammelt vorhandene E-Mail-Adressen und verschickt sich selbst als Anhang oder Link in neuen Mails. Nach aktuellem Kenntnisstand (April 2019) ist der Schädling dazu derzeit nur im E-Mail-Programm Outlook in der Lage. Deshalb wird die Methode "Outlook-Harvesting" ("Outlook-Ernte") genannt. Die Mails können aussehen wie eine Antwort auf eine Mail, die Sie selbst kürzlich an die betroffene Person geschickt haben. Denn Emotet liest Nachrichten aus dem Posteingang und verwendet deren Inhalte. Dadurch sind aber auch Empfänger, die kein Outlook verwenden, gefährdet. Denn Rechner infizieren kann Emotet auch über andere E-Mail-Programme und Web-Mail-Anwendungen.

Beispiel einer E-Mail von Emotet

Das Computer-Notfallteam des BSI zeigt ein Beispiel, wie eine E-Mail von Emotet beim Empfänger aussehen kann. Da haben Bertram Müller und Antje Meier wegen eines Fahrzeugstellplatzes hin und her gemailt (roter Kasten). Emotet nimmt diesen Mail-Wechsel als Grundlage und setzt einen eigenen Text darüber, sodass es wie eine neue Antwort von Antje Meier an Bertram Müller wirkt.

In seinen Text fügt der Computervirus einen Link ein. Doch der muss nicht zu der Adresse führen, die lesbar ist (also im Beispiel musterfirma.de...). Wenn Sie den Mauszeiger auf den Link halten (ohne ihn anzuklicken!) zeigt Ihnen das E-Mail-Programm, dass der Klick auf eine ganz andere Adresse führt (nämlich hier im Beispiel auf super-plus.pl...).

Screenshot einer Emotet-Mail
Bild: CERT-Bund/BSI

Als Empfänger so einer E-Mail sollten Sie also auf zwei Dinge achten:

  • Stimmt die Sprache? In diesem Fall ist das Deutsch fast fehlerfrei. Aber Empfänger Bertram Müller dürfte sich fragen, warum ihn Antje Meier plötzlich duzt.
  • Stimmt der angezeigte Link? Wenn Sie den Mauszeiger auf den Link halten und nicht drauf klicken, zeigt Ihnen Ihr E-Mail-Programm an, welche Internet-Adresse sich tatsächlich dahinter verbirgt. Erscheint eine andere als die lesbare, könnte etwas faul sein!

Weil die von Emotet gesendeten E-Mails nicht im Postausgang oder Gesendet-Ordner zu finden sind, bekommen betroffene Computernutzer zunächst nichts vom bösen Spiel des Schädlings mit. Ebenso unbemerkt bleiben oft weitere Trojaner und Schadprogramme, die Emotet eigenständig auf infizierte Rechner lädt. Die können dann zum Beispiel Zugangsdaten auslesen, Dateien verschlüsseln oder Angreifern den vollen Zugriff auf den infizierten Rechner ermöglichen. Weil die Programmierer ihre Schadprogramme ständig verändern, können sie auch von Virenschutzprogrammen erst mal unentdeckt bleiben und tiefgreifende Änderungen an infizierten Systemen vornehmen. "Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben", warnt das CERT-Bund. Es bleibt nur der Weg, sämtliche Daten auf dem PC zu löschen und das System neu aufzusetzen. Dann ist es gut, wenn man ein sauberes Backup hat.

So können Sie sich schützen

  • Prüfen Sie auch E-Mails von Ihnen bekannten Absendern kritisch. Stimmt die Sprache? Ist das Anliegen realistisch? Fragen Sie im Zweifel beim vermeintlichen Absender nach, bevor Sie Anhänge öffnen oder auf Links klicken.
  • Halten Sie Betriebssystem, Virenschutzprogramm und Ihre anderen Programme immer aktuell. Neu erscheinende Updates sollten Sie so schnell wie möglich installieren.
  • Sichern Sie Ihr System regelmäßig. Besitzen Sie ein Backup, lässt sich Ihr PC viel leichter wieder so herstellen, wie Sie ihn kennen.
  • Surfen Sie nicht als Admin. Legen Sie bei Windows ein Nutzerkonto ohne Admin-Rechte an und nutzen Sie das Internet und E-Mails nur damit. So kann keine Software ohne Rückfrage des Betriebssystems installiert werden.
  • Schalten Sie Makros in Office-Programmen ab. Schädliche Software wird oft auf diesem Weg auf Computer geschleust. Sofern Sie nicht zwingend mit Makros in Ihrer Büro-Software arbeiten müssen, schalten Sie sie gänzlich ab.

Was ist zu tun, wenn Sie betroffen sind?

Hier empfiehlt das BSI folgendes:

  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mail-Kontakte sind in diesem Fall besonders gefährdet.
  • Ändern Sie alle auf den betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann sollten Sie diesen Rechner neu aufzusetzen oder neu aufsetzen lassen.