Emold: eTicket_s3.zip

Inzwischen vergeht kein Tag ohne Emold (aka AutoRun). Auch heute verbreitet er sich wieder über eine Spam-Welle. Die Spam-Welle ist jedoch die selbe wie am 12. September (Siehe Post “Emold: eTicket_I2.zip”). Einziger Unterschied: Das Attachement nennt sich nun eTicket_s3.zip in welchem sich die Datei eTicket_s3.doc.exe befindet:

Filename: eTicket_s3.doc.exe
File size: 31744 bytes
MD5…: 37242ed27a0756d264bc0d09a4904548
SHA1..: 92d68bc05461390e9e065d0435c55a05986c9cce
Erkennungsrate: 11/36 (30.56%)

Nach Infektion kontaktiert der Trojaner verschiedene Domains. Darunter auch www.econocorp.com welche scheinbar gehackt wurde und von wo er eine Rogue Software (Antivirus XP 2008) nach lädt:

GET http://www.econocorp.com/images/scan.exe

Filename: scan.exe
File size: 199168 bytes
MD5…: eb51b5a672a4ddc2e50c7faaf3ec1e06
SHA1..: 1b7b1048ba4e8cb79bb379e858a48780a87de77e
Erkennungsrate: 18/36 (50%)

0 Responses to “Emold: eTicket_s3.zip”


  • No Comments

Leave a Reply




economics-recluse
Scene
Urgent!