Seit heute Morgen kurz nach 9:00 Uhr verbreitet sich Emold (aka AutoRun) mit einer neuen Spam-Welle:
Please find the document attached to this message. The report was issued today. Requested account details have been altered successfully.
Thank you for contacting us.
Respectfully,
Antoinette
Betreff der E-Mail variiert:
Im Attachement Statement.Jan,Oct.zip befindet sich die ausführbare Datei Statement_January-October.doc.exe im welcher sich der Trojaner Emold befindet:
File size: 47616 bytes
MD5…: 7c90658b942d2608e44d2c85955318f8
SHA1..: dd37c8255d37cca6e87257c2265fdd36629b073d
Erkennungsrate: 6/36 (16.67%)
Nach der Infektion lädt der Trojaner weiteren Schadcode von peterharris.com.au (202.191.62.240) sowie marsdenpilgrimages.com.au (202.191.61.82) nach:
GET http://marsdenpilgrimages.com.au/lsys/lscan2.exe
Filename: lscan2.exe
File size: 23552 bytes
MD5…: c1b7ea81f3f8517a89f568ad6f416040
SHA1..: 7309e9f44cfed11dea8c174afc48ed400f7065af
Erkennungsrate: 6/36 (16.67%)
Mit installiert wird auch der Spam-Mailer Cutwail, welcher den Infizierten Rechner in einen Spam-Bot verwandelt.
Beide Urls sind down bzw die Files gelöscht *gg*
***
Hi Peter,
I have removed the corrupted file, which caused the Trojan virus.Clear your browser cache and try accessing it.
Reset your account password very often for security reasons.Let us know if you require further assistance on any issue.
Jessy
support@mdwebhosting.com.au
MD Web Hosting
***