Am 22.10.2015 verbreiteten sich ab 12:20 Uhr rasant zahlreiche E-Mails mit dem Betreff „Invoice” an Empfänger der TU Chemnitz. Diese E-Mail enthielt eine ZIP-Datei mit Schadsoftware (Windows EXE-Datei).
Wird dieser Anhang angeklickt und dadurch die Software aktiviert, versendet das Windows-System nun ähnliche E-Mails an Adressen aus dem Outlook-Adressbuch, wodurch sich die Schadsoftware schnell verbreitet.
Als Gegenmaßnahme blockieren seit ca. 13:15 Uhr die Mailserver im URZ alle E-Mails mit dem Betreff „Invoice”.
Ob dieser Virus weitere schädliche Funktionen enthält, wird momentan im URZ untersucht. Die Ergebnisse sowie die empfohlenen Maßnahmen zur Beseitigung der Schadsoftware veröffentlichen wir an dieser Stelle in den nächsten Tagen.
Lesen und beachten Sie unbedingt die Sicherheitshinweise zum Umgang mit E-Mail!
Nachtrag vom 23.10.2015: Maßnahmen zur Beseitigung der Schadsoftware
Falls Ihr Rechner durch den Virus infiziert ist, empfehlen wir die folgende Vorgehensweise:
Vorabinformation
Seit dem 23.10. erkennt das Antivirenprogramm von Sophos den Schadcode in den am 22.10. versendeten Mails („Invoice“-Mailanhänge) mit hoher Wahrscheinlichkeit. Nach aktuellen Erkenntnissen wird bei bereits infizierten Nutzern jedoch weiterer Schadcode aus dem Internet nachgeladen. Die Folgen sind derzeit nicht abschätzbar.
Alle Nutzer sind dazu angehalten, zweifelhafte Mailanhänge nicht zu öffnen.
Handlungsempfehlung
Option 1 – URZ-administrierter PC mit Nutzeraccount ohne administrative Rechte
In diesem Fall kann sich der Schadcode nur im Nutzerprofil und Windows-Homeverzeichnis des infizierten Nutzers einnisten. Unsere Empfehlung ist daher, diese durch das URZ löschen und neu anlegen zu lassen. Wichtige Dateien und Dokumente aus dem Windows-Homeverzeichnis des infizierten Nutzers sollten vorher über externe Speichermedien gesichert werden, da diese bei der Löschung ebenfalls entfernt werden.
Option 2 – URZ-administrierter PC mit Nutzeraccount mit administrativen Rechten (W7Selfadmin) sowie lokale Rechner in eigenständiger Administration
Da durch infizierte Nutzer mit Administratorrechten überall im System Dateien erstellt und ausgeführt werden können, besteht eine hohe Gefahr einer dauerhaften Infektion des Rechners. Das URZ empfiehlt deswegen zunächst die Bereinigung der Nutzerprofile (bei domänenintegrierten Rechnern, siehe Option 1) und anschließend eine komplette Neuinstallation dieser Maschinen. Weitere relevante Daten auf der Maschine sollten vorher gesichert werden.
Option 3 – Rechner, die durch Dritte administriert werden
Bitte wenden Sie sich an ihren Administrator vor Ort.
Vielen Dank dafür!