Malwareverdacht mit der Bitte um Einordnung

[Bernd51]

Hallo an die Gemeinschaft,
ich muss mich mit einem Problem an euch wenden, das mir ein wenig Kopfzerbrechen bereitet, weil mir einfach (zum Glück) die Erfahrung im Umgang mit Malware fehlt.
Eine Bürokraft hat leider einen Anhang einer Phishing mail geöffnet und ausgedruckt. Ich weiß jetzt nicht, wie ich das einordnen soll und hoffe, jemand kann mich bei der Interpretierung meiner Erfahrungen unterstützen. Kurz in Stichpunkten

-Phishing Mail wie im Anhang gezeigt wurde geöffnet
-keiner der Links wurde geklickt
-Die PDF wurde im Firefox(JavaScript enabled) geöffnet und gedruckt, ohne sie "auf dem Pc zu Speichern"

Nachdem ich 3 Stunden später darüber Kenntnis erlangt habe, habe ich folgendes getan

-Windows Defender vollständiger Systemscan -> kein Fund sowohl als Offline wie als Onlinescan
-Norton 360 (ich weiß...) heruntergeladen- vollständiger Systemscan offline und online -> Kein Fund
-Die eml Datei separat gescannt -> Kein Fund
-URL Scan, obwohl nicht geklickt-> kein Fund
-Die PDF erneut geöffnet, sodass sie im Inet Cache erscheint
-Aus dem Inet Cache auf Virustotal hochgeladen 0 von 62 Treffer

nun denkt der ein oder andere, der das liest, was will der Kerl eigentlich noch?

-eine Sandbox hat das als Malware eingestuft zusammen mit einem 100 Seitigen Logfile, was ich nicht verstehe. auf Wunsch generiere ich das noch einmal und kann es hier anhängen.

Darauf ergeben sich nun für mich folgende Fragen:

Ist der Inet Cache vielleicht irgendwie "isoliert" sodass ich mir da gar keine Sorgen machen muss?
Kann ich mich auf meine Scanergebnisse verlassen?
Warum soll die Mail einen Anhang haben, wenn da keine Malware drin ist
Was ist der Zweck dieser Mail? die aktive Eingabe persönlicher Daten oder die Infektion eines Systems

Vielleicht denkt der ein oder Andere nun dass ich nicht alle Latten am Zaun habe aber dies ist wirklich ein Wichtiger Pc, den man nicht einfach mal neu aufsetzten kann.



Nun zum Schluss danke ich allen, die das durchgelesen haben und freue mich auf eure Hilfestellung zur Einordnung
<3

 

[lazsniper]

norton wieder runter hauen - wenn der defender nichts bringt ist alles ok.

und dann den vorgang vergessen, es ist nichts weiter passiert

zweck der email ist wie ich das sehe eher phising anstatt infektion.

 

[PC295]

Warum soll die Mail einen Anhang haben, wenn da keine Malware drin ist

Phishing-Mails kommen meist ohne Malware. Sie setzen auf den ahnungslosen Nutzer, der sensible Daten preisgibt oder Rechnungen auf ein ausländisches Konto überweist, so wie in diesen Fall.

Solche Rechnungen sind derzeit wieder oft im Umlauf.

Schau einfach mal auf die IBAN auf der Rechnung. Die beginnt sicherlich nicht mit "DE".

 

[He4db4nger]

jap, kannste getrost in die Tonne kloppen. ging nur darum, dass die kohle auf ein nicht-telekom Konto überwiesen wird.
aber "Bürokraft" und dann windows live mail? da würd ich jetzt aber eher auf andere Programme setzen..

 

[doctor84]

Habe mich auch über Windows Live Mail gewundert. Beginnen eure Sorgen dann nicht schon an anderer Stelle?

 

[K3ks]

Willkommen im Forum.

-Aus dem Inet Cache auf Virustotal hochgeladen 0 von 62 Treffer

Ist vermutlich nichts.

-eine Sandbox hat das als Malware eingestuft zusammen mit einem 100 Seitigen Logfile, was ich nicht verstehe. auf Wunsch generiere ich das noch einmal und kann es hier anhängen.

O.o

 

[madmax2010]

Zeig mal die links bitte.
Aber das sieht schon stark nach einfach nur scam aus. Man will ja in dem Fall, dass Leute die Rechnung bezahlen und nicht ihren PC lahm legen

Mit Norton hast du dann jetzt schadsoftware installiert..

 

[Bernd51]

@madmax2010 Den Link habe ich in dem Screenshot unten links eingekreist

 

[.one]

dies ist wirklich ein Wichtiger Pc, den man nicht einfach mal neu aufsetzten kann.

Das Problem auch gleich beseitigen. Stichwort Backup...

Das ist ne Firma?

 

[Q990]

Beginnen eure Sorgen dann nicht schon an anderer Stelle?

Wenn es ums Geschäft geht, dann würde ich auch lieber E-Mail Clients
wie z. B. "The Bat!" einsetzen. Ob ich das gleiche Vertrauen in Windows
Live Mail hätte? Eher nicht.

 

[Bernd51]

Habe mich auch über Windows Live Mail gewundert. Beginnen eure Sorgen dann nicht schon an anderer Stelle?

Inwiefern ist der Mail Client ein Sicherheitsrisiko? ich hab das nie verstanden. außer dass er irgendwelche links blocken kann, die man als Anwender aktiv klicken kann?
Was passiert, wenn ich ein veraltetes Mailprogramm an einem aktuellen Pc mit ebenso aktuellen Virendefinitionen nutze
vielleicht kannst du mir das ja erklären.
Warum ich kein Aktuelles Outlook nutze, kann ich euch auch sagen: Die auto Vervollständigung bei der Kontakteingabe kriege ich in outlook einfach nicht hin. Beil Wlmail kann ich jeden x beliebigen Buchstaben eingeben, der in Name oder Domain enthalten ist und es öffnen sich alle Kontakte, die Infrage kommen. Bei Outlook muss ich immer exakt den Anfangsbuchstaben eingeben, damit die Auto vervollständigen Liste angezeigt wird. das ist ob der Fülle der Kontakte für mich nicht lösbar. Thunderbird ist mir zu unübersichtlich. vielleicht hat ja hier auch jemand eine Lösung für mein Problem

 

[madmax2010]

Was passiert, wenn ich ein veraltetes Mailprogramm an einem aktuellen Pc mit ebenso aktuellen Virendefinitionen nutze

Sicherheitslücken beseitigst du durch das installieren von Updates.
Schadsoftware erschwerst du es, durch das reduzieren von Angriffsfläche. Antiviren Software maximiert die Angriffsfläche.

Probleme sollte man lösen, nicht kaschieren.
Die meiste jeweils aktuell erfolgreiche schadsoftware nutzt alte und bekannte Sicherheitslücken aber wird noch nicht erkannt und hat so leichtes Spiel.

Antiviren bringen oft parser für tausende Dateiformate mit. PDFs als Beispiel: ein Antiviren hersteller hat die Möglichkeit einen bestehenden Parser von Adobe einzubauen, oder seinen eigenen zu entwickeln. Sein eigener kann dabei Sicherheitslücken haben und so kann dein Antivirus selbst angegriffen werden.
Oder man nimmt den Parser von Adobe. Leider dauert es dann immer gern ein paar Wochen nachdem Adobe eine Lücke geschlossen hat, bis das Update beim Antivirus angekommen ist.

So haben Antiviren es schon geschafft Windows malware auf Linux auszuführen, schadsoftware über ihren eignenen update Prozess zu installieren.

Dazu kommen noch eigene Bugs, die enorm viel schaden anrichten können. Siehe crowdstrike. Das war nur möglich weil Antiviren Schutzmechanisem die windows sonst gehabt hätte deaktiviert hat .
Microsoft zieht da jetzt auch entgültig den Stecker und schränkt das worauf Antiviren Zugriff haben in den nächsten Monaten deutlich ein.
Nichts schlägt aus Sicherheitssicht die Minimierung der Angriffsfläche und aktuelle Software nutzen.


Egal welches, auch dir ein aktuelles Mail Programm aus.

 

[PC295]

Thunderbird ist mir zu unübersichtlich. vielleicht hat ja hier auch jemand eine Lösung für mein Problem

Du kannst dir auch em Client anschauen (für 2 Mail-Konten kostenlos, und es hat eine moderne und übersichtliche Oberfläche).
Dort funktioniert das Auto-Vervollständigen bei der Kontakteingabe im Gegensatz zu Outlook.

 

[User007]

Hi und (erstmal) willkommen im Forum!

Erstmal zur Info:

-Phishing Mail wie im Anhang gezeigt wurde geöffnet
-keiner der Links wurde geklickt

DAS stellt erstmal noch keine Gefahr dar! ☝️

-Die PDF wurde im Firefox(JavaScript enabled) geöffnet und gedruckt, ohne sie "auf dem Pc zu Speichern"

Das ist nur tlw. richtig, denn zur Anzeige - unabhängig, ob im Browser oder in einem PDF-Anzeigeprogramm - muß die PDF-Datei zumind. temporär zwischengespeichert werden, was eben meist im "Temp"-Verzeichnis erfolgt - somit ist die Datei faktisch erstmal auf dem Rechner vorhanden resp. gespeichert.

Dann:​

Ist der Inet Cache vielleicht irgendwie "isoliert" sodass ich mir da gar keine Sorgen machen muss?

Nein - und man muß sich nicht vor lauter "Sorge" um den Schlaf bringen, denn das Streben nach absoluter Sicherheit ist eh illusorisch (siehe dazu meine Sig. 😉), aber trotzdem sollte man eben stets aufmerksam und bedacht im Umgang mit Daten agieren.
​

Warum soll die Mail einen Anhang haben, wenn da keine Malware drin ist
Was ist der Zweck dieser Mail? die aktive Eingabe persönlicher Daten oder die Infektion eines Systems

Das gehört, wie bereits erwähnt wurde, zur Methodik, mit der übrigens solche immer wiederkehrenden - und auch insbesondere die Telekom mißbrauchende - Phishing-Kampagnen realisiert sind und leider gibt's nach wie vor genügend Reinfallende. 🤷‍♂️

Bei der Verbraucherzentrale gibt's zur Information das sog. Phishing-Radar.

Btw.:
Im Ansinnen für konsistente Datensicherheit sollte sowohl über die Nutzung eines aktuellen E-Mail-Clients, wie bspw. Thunderbird (immerhin Open-Source), als auch eine (bereits erwähnte) strukturierte Backup-Strategie zumind. nach der sog. 3-2-1-Regel nachgedacht werden.
Erg.: Und bzgl. "Thunderbird ist mir zu unübersichtlich" - das ist alles Einstellungs- sowie Gewöhnungssache!​

 

[.one]

Dafür laden em und auch Outlook die Mails auf den eigenen Server. Man muss da nach Vertrauen auswählen. Gut sind beide.

 

[chrigu]

Du (ähm sorry deine Bürokraft) hat den link gedrückt und den Anweisungen gefolgt? Jenachdem was dort verlangt wurde (Bankkonto pin/tan, Passwort von Outlook/microsoftkonto, usw.) wird in den nächsten zeit Geld abgebucht, oder das Konto wurde geplündert, also frag die „Bürokraft“ was genau sie eingegeben hat und sperre dort das Konto/outlook/wasauchimmer

 

[Bernd51]

Erst mal vielen Dank für den sachlichen Austausch und die zahlreichen Antworten.

offenbar kann man zusammenfassend sagen, dass bezüglich meines Problems nichts passiert ist und dieser eine Malwareverdacht wohl false positive war.

Ferner danke ich für den Hinweis bzgl em Client, habe ich getestet und sieht wirklich sehr übersichtlich aus.
kommerzielle Nutzung ist natürlich schon wieder so eine sache mit der Gratis version ^^

zum Thema Datensicherung ist es nicht so einfach . Mein Softwarebetreuer sagt, dazu müsste ich SQL server kaufen- die Basisversion würde dazu nicht reichen, meine Passt Prime Daten zu sichern. aber hierzu experten zu finden in diesem Forum wird wohl schwierig, angesichts der Stundensätze dieser Leute, die sich damit auskennen. In Anbetracht dessen, dass wir als kleines Unternehmen jetzt bei bald 4000€ Netto Softwarekosten/a Sind, müssen wir natürlich ür uns Abwägen, was brauchen wir wirklich und was nicht

Ergänzung (20. Juli 2025)

Du (ähm sorry deine Bürokraft) hat den link gedrückt und den Anweisungen gefolgt? Jenachdem was dort verlangt wurde (Bankkonto pin/tan, Passwort von Outlook/microsoftkonto, usw.) wird in den nächsten zeit Geld abgebucht, oder das Konto wurde geplündert, also frag die „Bürokraft“ was genau sie eingegeben hat und sperre dort das Konto/outlook/wasauchimmer

du hast offenbar nicht richtig gelesen.
Wenn ich auf einer Litauischen Seite meine Bakdaten eingegeben und auf "abbuchen" geklickt hätte, würde ich sicherlich nicht in einem Forum fragen, ob das schlimm ist.

danke dir trotzdem für deine mitarbeit.

 

[madmax2010]

müssen wir natürlich ür uns Abwägen, was brauchen wir wirklich und was nicht

Backups. Wenn ihr von etwas keine Backups braucht, braucht ihr es nicht. Oder könnt euch einen Monat Ausfall problemlos leisten

Das man um Backups zu machen Microsoft SQL server Lizenzen kaufen muss halte ich für eine Lüge. . Weil im Datenbank Markt keine monopolsituation herrscht und 2. Weil man Backups auf X Ebenen machen kann.
Auf Dateisystem ebene
Auf Datei Ebene
Auf Anwendungs Ebene
...

 

[lazsniper]

zum Thema Datensicherung ist es nicht so einfach

einfach mit acronis jede woche ein image des kastens erstellen im hintergrund sollte ziemlich einfach sein

du musst ja auch damit rechnen dass das gerät jederzeit abrauchen kann. jeden tag. was machst du dann?

 

[redjack1000]

um Thema Datensicherung ist es nicht so einfach . Mein Softwarebetreuer sagt, dazu müsste ich SQL server kaufen- die Basisversion würde dazu nicht reichen,

Mag sein, dass das in deinem Fall so ist. Ich benötige keine SQL Server Lizenz um Backups von Servern/Clients zu machen.

Cu
redjack