Liebe Studis,
über unseren Newsletter ist leider eine E-Mail durchgekommen, die ein ZIP Archiv mit einem Computervirus enthält. Das Virus stammt nicht von der Studierendenvertretung. Wir bitten euch, die Datei und Email sofort zu löschen.
Wenn ihr die Datei versehentlich heruntergeladen habt, gibt es unterschiedliche Möglichkeiten:
- Ihr habt das mit Android oder iOS heruntergeladen aber nicht mit Microsoft Office geöffnet: Euer Smartphone ist nicht infiziert, aber bitte löscht die Datei.
- Ihr habt die Datei heruntergeladen aber nicht entpackt: Es passiert nichts. Löscht bitte die Datei.
- Ihr habt die Datei heruntergeladen, geöffnet, aber das Passwort nicht eingegeben: Es passiert nichts. Löscht bitte die Datei.
- Ihr habt die Datei heruntergeladen, geöffnet und entpackt, aber die Word Datei nicht mit Microsoft Office geöffnet. Dann ist euer Computer wahrscheinlich nicht infiziert. Bitte die Dateien sofort löschen.
- Ihr habt die Word Datei mit Word geöffnet: Scannt bitte euren Computer auf Viren, es könnte sein, dass sich dadurch ein Virus (Ursnif) installiert hat.
Wir würden euch den Einsatz eines Scantools für Computerviren empfehlen z.B. https://www.kaspersky.de/downloads/thank-you/free-virus-removal-tool
Genauere Erkenntnisse zu dem Thema werden wir hier noch veröffentlichen.
Update 1: Genauere Erkenntnisse zu dem Virus. Es ist Ursnif
- Wenn man in Microsoft Word bei der Datei Macros aktiviert hat (dazu wird man aufgefordert), dann installiert sich automatisch ein Virus, das einen Spionage-Banking Trojaner namens URSNIF herunterlädt. Das oben verlinkte Programm sollte den Trojaner identifizieren und löschen können.
- Das bedeutet, wenn ihr die Datei heruntergeladen habt, eine aktuelle Word Version habt, aber keine Bearbeitung aktiviert und keine Makros aktiviert habt, sollte euer Computer nicht infiziert sein. Aber Warnung: Dieses Virus bemerkt man nicht notwendigerweise. Ein Komplettscan ist aber angeraten.
- Ein paar Zusatzinfos für IT-Interessierte:
- Eine Analyse zu der URSNIF Datei (die der Virus von einem russischen Server abruft) findet sich hier: https://www.joesandbox.com/analysis/399641/0/html
- Eine Analyse der Word Datei findet sich hier: https://www.joesandbox.com/analysis/700884
- Eine Virustotal Analyse des Trojaners: https://www.virustotal.com/gui/file/127d2018e008677e5a0af20d8981806e07e3b57285787800554708803aaca6bd/summary
Update 2:
- Falls ihr Windows habt, das Virus entpackt habt und die Word Datei in Microsoft Word geöffnet habt und Macros aktiviert habt (in Einstellungen oder auf Aufforderung des Virus), dann raten wir dringend zur Ausführung einer Antivirus Boot CD (oder USB Stick). Hier findet sich ein Test: https://www.security-insider.de/antivirus-boot-cds-im-test-system-und-dateien-im-notfall-retten-a-301166/
- Das RRZE hat seinen Beitrag zu dem Thema aktualisiert. Die Erkenntnisse bestätigen unsere Analyse aus dem ersten Update. (Vielen Dank!)
Weitere Links zu den Themen:
https://www.rrze.fau.de/2021/04/warnung-vor-e-mail-mit-anhang-von-dem-newsletter-der-studierendenvertretung/