Heute habe ich folgendes Mail in einer meiner Honigtöpfe gefunden:
From: “Horace Parr”
To: marco@rbl.abuse.ch
Subject: Something hot
To: marco@rbl.abuse.ch
Subject: Something hot
Helo, buddy!
Hey, Did you see this????? Angelina Jolie played in hardcore porn!!
Watch in attachment…
Good Bye.
Attachement: hard.zip
Im Attachement hard.zip ist folgende Datei zu finden:
File name: hard.scr
File size: 20992 bytes
MD5: 601392bea264054d2a5b02ef79a8d4ab
SHA1: 452360840181742de7d1e5f52958bee45adf1260
File size: 20992 bytes
MD5: 601392bea264054d2a5b02ef79a8d4ab
SHA1: 452360840181742de7d1e5f52958bee45adf1260
Das Attachment ist mit dem Virus Trojan-Dropper.Win32.Agent.dgf (F-Secure) infiziert. Eine frühere Version des Trojaners habe ich am 11. Dezember 2007 bereits einmal analysiert: Post vom 1. Dezember 2007 “Trojan.Win32.Pakes.btf (F-Secure) im Umlauf”
Beim ausführen der Datei hard.scr lädt der Virus zusätzliche Malware nach (Email-Worm.Win32.Agent.bc – F-Secure):
GET 67.18.114.98/*hashkey*
GET 208.66.195.71/*hashkey*
GET 208.66.195.71/*hashkey*
Des weiteren kontaktiert der Virus (wie auch der Vorgänger) die IP-Adresse 216.195.61.87 auf Port 2581
0 Responses to “Neue version von Trojan.Win32.Pakes im Umlauf”