Virenbetrug im Namen des Netflix-Teams.
Wenn Sie auf Youtube aktiv sind, erhalten Sie vielleicht eine dieser Nachrichten, die Ihnen mitteilen, dass Sie an einer Werbeaktion teilnehmen können, bei der Sie eine Menge Geld verdienen können.
Wenn Sie auf die E-Mail antworten, erhalten Sie eine Antwort, in der Regel mit einem Link zu einigen “Promotion-Dateien”.
> Hello, we are the Netflix team.
>
> Your YouTube channel is perfect for promoting our brand, so we’d like
> to work with you.
> Netflix is an entertainment company, streaming film and series service.
> It produces its own films and series, including animated ones,
> What do you think of this offer?
> We make the following request to you.
Was steht in den Dateien?
Die beste Reaktion ist, die E-Mail einfach zu löschen und gar nicht zu antworten. Aber ich war neugierig, wie immer, und habe die Datei in einer virtuellen Linux-Maschine heruntergeladen. Was wir erhalten, ist eine ZIP-Datei. Die Größe der ZIP-Datei beträgt etwa 7 MB, der Inhalt ist jedoch viel größer, wenn man sie entpackt. Damit soll vor allem verhindert werden, dass die Dateien von Online-Antivirentools wie “VirusTotal” geprüft werden, die eine Dateibeschränkung haben.
Außerdem ist die Datei mit einem Passwortschutz versehen, um zu verhindern, dass Ihr lokaler Virenscanner den Inhalt der Datei überprüft.
OK, entpacken wir die Dateien. Glücklicherweise gibt es auch eine kleinere Datei, die sich mit “VirusTotal” leicht überprüfen lässt. Das Ergebnis ist wie erwartet und enthält Malware. Interessanterweise war der ursprüngliche Dateiname “Lenovo Premium contract docx.exe”. Das bedeutet, dass die Dateien für verschiedene Versionen der Betrugsmails verwendet werden.
