Monthly Archive for August, 2008

Trojan.Crypt: eTicket_N832.zip

Seit heute Morgen kurz nach 10 Uhr kursieren erneut Spam-Mails mit dem Trojaner “Trojan.Crypt” im Attachement:

To: mario@amorphias.com
Betreff: Your Online Flight Ticket N 61769
Dear Sirs,
Thank you for using our new service “Buy airplane ticket Online” on our website.
Your account has been created:

Your login: *youremailadress*
Your password: passEJL1

Your credit card has been charged for $658.15.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
Southwest Airlines

Die Ticket Nummer im Betreff sowie das password variiert. Als login ist jeweils die Empfänger E-Mail Adresse angegeben. Auch die Signatur scheint zu variieren:

  • American Airlines
  • Southwest Airlines
  • Northwest Airlines
  • Delta Air Lines
  • Spirit Airlines
  • Im Attachement eTicket_N832.zip findet sich der uns bereits von gestern bekannte Trojaner “Trojan.Crypt”:

    Filename: eTicket_N832.doc.exe
    File size: 31232 bytes
    MD5…: e24a4a95745aee0a1d40e8222cf79614
    SHA1..: 695ca4afb825749198d5d635a65238b6ec8e307c
    Erkennungsrate: 7/36 (19.44%)

    Die Malware lädt wie gewohnt Rogue Software nach sowie den Spam-Mailer PushDo. Die vom Trojaner kontaktierten Domains sind immer noch unverändert:

    aaszxe.ru (offline)
    aaszxi.ru (offline)
    aaszxo.ru (offline)
    aaszxp.ru (offline)
    aaszxq.ru (offline)
    aaszxr.ru (91.203.93.10)
    aaszxt.ru (91.203.93.10)
    aaszxu.ru (91.203.93.10)
    aaszxw.ru (91.203.93.10)
    aaszxy.ru (91.203.93.10)

    MELANI hat bereits reagiert und eine entsprechende Warnung herausgegeben:

    9. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    PS: Ich bitte die verspätete Meldung durch abuse.ch zu entschuldigen. Ich war den ganzen Tag an einem IT Security Event und konnte deshalb nicht auf die neue Spam-Welle reagieren.

    Trojan.Crypt: Fees_2008-2009.zip

    Seit heute Mittag kursiert eine neue Spam-Welle mit dem Ziel, einen Trojaner (Trojan.Crypt) auf dem Rechner des Opfers zu installieren:

    Betreff: Statement of fees 2008/09
    Please find attached a statement of fees as requested, this will be
    posted today.

    The accommodation is dealt with by another section and I have passed
    your request on to them today.

    Kind regards.

    Tamra

    Im Attachement Fees_2008-2009.zip findet sich wieder einmal mehr eine Ausführbare Datei mit dem Namen Fees_2008-2009.doc______.exe welche einen Trojaner beherbergt:

    Filename: Fees_2008-2009.doc______.exe
    File size: 32768 bytes
    MD5…: e3e7480983d2c724868d2f0cab9cfa9f
    SHA1..: 2e29c7226308fe5a6ec03608d4b29336984ede72

    Bei dem Trojaner handelt es sich nicht um WSNPoem sondern mit höchster Wahrscheinlichkeit um Trojan.Crypt welcher bereits vor ein paar Wochen im Internet kursiert ist. Der Trojaner kontaktiert wieder die selben Domains wie bei der letzte Spam-Welle:

    aaszxe.ru (offline)
    aaszxi.ru (offline)
    aaszxo.ru (offline)
    aaszxp.ru (offline)
    aaszxq.ru (offline)
    aaszxr.ru (91.203.93.10)
    aaszxt.ru (91.203.93.10)
    aaszxu.ru (91.203.93.10)
    aaszxw.ru (91.203.93.10)
    aaszxy.ru (91.203.93.10)

    Wie immer gilt: Vorsicht bei E-Mail Attachements!

    UPDATE 27.8.08 12:55 Uhr

    Soeben reingekommen:

    Betreff: Statement of fees 2008/09
    Please find attached a statement of fees as requested, this will be posted today.

    The accommodation is dealt with by another section and I have passed your request on to them today.

    Kind regards.

    Maribel

    Der Betreff sowie der E-Mail Text ist abgesehen von dem Namen in der Signatur jeweils der selbe. Im Attachement “Fees_2008-2009.zip” findet sich erneut die genannte Malware. Die Ausführbare Datei hat jedoch einen neuen Namen: Fees-2008_2009.doc.exe

    Filename: Fees-2008_2009.doc.exe
    File size: 30720 bytes
    MD5…: b913d34871eb9134b21f53f54449fac0
    SHA1..: 0a8ec5f9ef6865e2cc241fa5f53eb5d9b92bb088
    Erkennungsrate: 2/35 (5.72%)

    Die Malware installiert zudem sogenannte “Rouge Software” wie z.B. Antivirus XP oder Antivirus 2008. Um diese Software loszuwerden empfliehlt sich die installation von Malwarebytes’ Anti-Malware (Gratis).




    economics-recluse
    Scene
    Urgent!