Emold: abrechnung.zip

Seit heute Nachmittag kurz nach 14:30 Uhr verbreitet sich ein noch unbekannter Trojaner per Spam-E-Mail:

Betreff: Abrechnung 59745458055

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.257406245440 ist erfolgt
Es wurden 8121.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld

Postfach 51 20 05
33698 Bielefeld

Tel.: 0521 93212-0
Fa x: 0521 92412-15

AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377

Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932

Die erwähnte Inkasso Firma Regel Inkasso GmbH & Co. KG ist jedoch viel mehr Opfer als Täter- Der Absender ist nämlich gefälscht.

Die Nummer im Betreff sowie die Anzahlungsnummer (Anzahlung Nr.) und der EURO Betrag im E-Mail Text variieren. Im Attachement abrechnung.zip befindet sich ein derzeit noch unbekannter Trojaner. Der Trojaner ist in der Datei scann.a im Attachement abrechnung.zip versteckt. Der Trojaner lässt sich jedoch nur über die ebenfalls im Attachement vorhandene Verknüpfung abrechnung.lnk ausführen, welche die Datei scann.a im Ordner scan via cmd.exe ausführt:

%windir%\system32\cmd.exe /c scann\scann.a

Mit einem Klick auf die Verknüpfung , wird der eigentliche Trojaner ausgeführt:

Filename: scann.a
File size: 26112 bytes
MD5…: b2f27d1b598d46998eda3a12ddfe140e
SHA1..: ee18628238725d3938c8810b8d019cfc8401aca7
Erkennungsrate: 3/37 (8.11%)

Die Erkennungsrate des Trojaners ist äusserst schlecht. Es handelt sich dabei jedoch höchstwahrscheinlich um Emold / AutoRun. Nach der Infektion kontaktiert er die uns von früher bereits bekannte Domain univnext.cn (218.93.202.102 CHINANET-JS):

GET http://univnext.cn/ld.php?v=1=rs

Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren sollten Unternehmen den Zugriff auf univnext.cn (218.93.202.102) an Ihren Gateways unterbinden.

UPDATE 15:52 Uhr

Der vom Trojaner Kontaktierte Server (218.93.202.102) scheint auch noch andere Webseiten zu hosten:

  • absoluts.org
  • murakamus.cn
  • univnext.cn
  • suspended-domain.ru
  • mangust32.cn
  • liveinternetstatistics.ws
  • linenetz.com
  • usersoftware.in
  • Die Webseiten hosten teilweise Konfigurationsdateien von unserem Freund WSNPoem sowie verschiedene Drive-By exploits. Es empfiehlt sich also auch hier, den Zugriff auf die oben genannten Domains zu blockieren.

    UPDATE 22:07 Uhr

    Nach einer weile scheint der Trojaner auf Kommando weiteren Schadcode von topdirectory.info (216.246.45.76 – HostForWeb Inc.) nach zu laden:

    GET http://topdirectory.info/bobunger2006/z.exe

    Filename: z.exe
    File size: 43249 bytes
    MD5…: 86838c10f0f87876c267c20a3ae2241e
    SHA1..: 975bce9fa4fbb0a1946c1f24bcce91846e47e7e8
    Erkennungsrate: 2/37 (5.41%)

    Die Erkennungsrate bei der nachgeladenen Datei (z.exe) ist noch schlechter als beim Trojaner selbst (scann.a). Der nun nachgeladene Trojaner kontaktiert ebenfalls regelmässig eine weitere Domain:

    mssrv10256.com 91.207.117.251 (MEGATECH-NET, Russia)

    GET http://mssrv10256.com/IT03/get.php

    Erneut gilt es, den Zugang zu den folgende Domains zusätzlich zu blockieren:

  • mssrv10256.com (91.207.117.251)
  • topdirectory.info (216.246.45.76)
  • 32 Responses to “Emold: abrechnung.zip”


    • Hm.. sehr interessant. Bei mir kams auch schon an. Bemerkenswert wie schnell sich sowas verbreitet.. :P

    • Ja, aber echt. Hier in Zypern ist er jetzt auch schon.

    • Kam hier auch grad dreimal an. Der Kaspersky-Online-Scanner kennt das Dingen noch nicht…
      Wie’s scheint, will da jemand dem Inkasso-Unternehmen eins reinwürgen, was?

    • Bei uns im Unternehmen haben sogar einige die Mail geöffnet *grrr*

      Und jetzt?

      Gibt es da schon Abhilfe wie man da jetzt Verfahren muß/sollte?

    • Hab sie auch bekommen um 14:29 ;)
      Return-Path:
      Received: from mailin14.aul.t-online.de (mailin14.aul.t-online.de [172.20.26.49])
      by mhead204 with LMTP; Mon, 24 Nov 2008 14:28:58 +0100
      X-Sieve: CMU Sieve 2.2
      Received: from dsl88.230-59063.ttnet.net.tr ([88.230.230.183]) by mailin14.aul.t-online.de

      Kam über Ankara (Türkei)
      Meine Adresse war als Envelope Adresse angegeben. Der eigentliche emfpänger hat eine, meiner Mailadresse ähnlichen Empfänger. War das bei euch auch der Fall? Die denken sicher das dann meine Neugier den Virus zu öffnen höher sein wird.
      Falsch gedacht ;)
      Gruß Martin

    • der Betrag meiner “Rechnung” war etwas höher haha

      Sehr geehrte Damen und Herren!
      Die Anzahlung Nr.636635973858 ist erfolgt Es wurden 9995.00 EURO Ihrem Konto zu Last geschrieben.
      Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

      Regel Inkasso GmbH & Co. KG
      Fredeburger Str. 21
      33699 Bielefeld

      Postfach 51 20 05
      33698 Bielefeld

      Tel.: 0521 93212-0
      Fa x: 0521 92412-15

      AG Bielefeld HRA 13169
      Steuer-Nummer: 349/5749/0377

      Komplementargesellschaft:
      Regel Verwaltungs-GmbH
      AG Bielefeld HRA 34932

    • Hab ihn heute nachmittag bekommen. Die Regel-Inkasso sollte reagieren und eine Warnung auf ihrer Website geben.

    • Mc Affee erkennt ihn auch nicht …. leider!

    • Habs natürlich geschafft, das Ding auszuführen … hab aber keine Probleme festgestellt. Gibt es trotzdem einen Remover?

    • Kaspersky erkennt ihn jetzt, also Update fahren. Leider bei einem unserer Mitarbeiter zu spät, hatte schon drauf geklickt. Kaspersky entfernt den Trojaner aber dann.

    • in Rumänien ist er auch schon.
      hab j auch ne web.de mail adresse.
      passiert da was mit UBUNTU?

    • SICP-BBCode-EnterpriseExpertProgrammer

      virustotal.comDie ist hier eingetrudelt:
      http://www.virustotal.com/de/analisis/9e0572bff5a3a34b20fc1f65ae3faee4
      Das erkennen anscheinend schon deutlich mehr Virenscanner, u.a. auch Trend obwohl der bei mir mit dem aktuellsten Controlled Pattern Release (5.672.07) nichts findet… jemand eine Idee warum?

    • @Tobias
      Ubuntu ist natürlich nicht betroffen – ist ja auch Linux ;-)
      Die Chance hier per eMail infiziert zu werden ist vernichtend gering.. die .zip-Datei darf also gerne geöffnet werden, hier passiert nix.

    • Hallo,

      hab die Mail auch grad bekommen. Bei mir ist es allerdings eine Lastschrift auf meinem Konto. :-) Sehr interessant! Absender: gangebp@bowden.com.hk, also aus Hongkong. Sonst sind die Daten alle gleich.

      Gruß Andy

    • ripe.netripn.netripn.netIch habe gesehen das die Mail aus Russland kommt:
      NeoTrace Trace Version 3.25 Results
      Target: 95.24.138.169
      Date: 24.11.2008 (Monday), 19:18:50
      Nodes: 18

      Node Data
      Node Net Reg IP Address Location Node Name
      18 1 1 95.24.138.169 MOSKVA 95-24-138-169.broadband.corbina.ru

      Packet Data
      Node High Low Avg Tot Lost
      18 —- —- —- 6 6

      Network Data
      Network id#: 1

      OrgName: RIPE Network Coordination Centre
      OrgID: RIPE
      Address: P.O. Box 10096
      City: Amsterdam
      StateProv:
      PostalCode: 1001EB
      Country: NL

      ReferralServer: whois://whois.ripe.net:43

      NetRange: 95.0.0.0 – 95.255.255.255
      CIDR: 95.0.0.0/8
      NetName: 95-RIPE
      NetHandle: NET-95-0-0-0-1
      Parent:
      NetType: Allocated to RIPE NCC
      NameServer: NS-PRI.RIPE.NET
      NameServer: SEC1.APNIC.NET
      NameServer: SEC3.APNIC.NET
      NameServer: TINNIE.ARIN.NET
      NameServer: NS.LACNIC.NET
      Comment: These addresses have been further assigned to users in
      Comment: the RIPE NCC region. Contact information can be found in
      Comment: the RIPE database at http://www.ripe.net/whois
      RegDate: 2007-07-30
      Updated: 2007-08-07

      ARIN WHOIS database, last updated 2008-11-23 19:10

      Registrant Data
      Registrant id#: 1
      By submitting a query to RIPN’s Whois Service
      you agree to abide by the following terms of use:
      http://www.ripn.net/about/servpol.html 3.2 (in Russian)
      http://www.ripn.net/about/en/servpol.html 3.2 (in English).

      domain: CORBINA.RU
      type: CORPORATE
      nserver: dns1.corbina.net.
      nserver: dns2.corbina.net.
      state: REGISTERED, DELEGATED
      org: Investelektrosvyaz JSC
      phone: +7 095 7555648
      fax-no: +7 095 3719205
      e-mail: hostmaster@corbina.ru
      e-mail: admin@corbina.ru
      registrar: RUCENTER-REG-RIPN
      created: 1996.11.21
      paid-till: 2008.12.01
      source: TC-RIPN

      _____
      NeoTrace Copyright ©1997-2001 NeoWorx Inc

    • Hi,
      yeah ich hab ihn jetzt auch. Normalerweise erwischt mich sowas nicht. Sitze in Suedafrika, allerdings mit einer .com email adresse. Der Absender war kcpuwhyd@bodymath.com.
      Gruesse aus sonnig SA
      Christel

    • HALLO Leute, ich bin jetzt auch Mitglied in Eurem Club. Habe auch gerade diesen tollen Brief erhalten. Dank meiner Intuition habe ich diesen Anhang nicht geöffnet. Die Bestätigung für meine Ahnung habe ich dankend hier in diesem Forum erhalten.
      Ein weiteres Forum besteht unter “Guenter Frhr.von Gravenreuth”
      Diese Mail verbreitet sich ja in windeseile. Meine Forderung ist 8.575,oo €.

      Erst kürzlich erhielt ich auch so eine Forderung von der Deutschen Inkassostelle bezüglich der berüchtigten Nachbarschaftspost.de

      Habe alles gleich unter “P” – wie Papierkorb abgeheftet.

    • Oh wart ihr aber alle teuer bei mir kam das eben gerade an:

      Sehr geehrte Damen und Herren!
      Die Anzahlung Nr.977778835682 ist erfolgt
      Es wurden 1157.00 EURO Ihrem Konto zu Last geschrieben.
      Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

      Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist für Sie nicht von Bedeutung

      Regel Inkasso GmbH & Co. KG
      Fredeburger Str. 21
      33699 Bielefeld

      Postfach 51 20 05
      33698 Bielefeld

      Tel.: 0521 93212-0
      Fax: 0521 92412-15

      AG Bielefeld HRA 13169
      Steuer-Nummer: 349/5749/0377

      Komplementärgesellschaft:
      Regel Verwaltungs-GmbH
      AG Bielefeld HRA 34932

      Aber als Linux Nutzer lacht man gerne zweimal drüber. Übrigens ClamAV identifizert das Dingens als Trojan.Agent-62899

    • hab heute auch so eine mail bekommen und ein mitarbeiter hat es geöffnet.er ist
      sich nicht sicher ober er scann.a oder das andere file geklickt hat.
      was ist zu tun wenn er dieses file geklickt hat??

    • Hi , habe auch gerade die Mail erhalten und gleich Lunte gerochen , kam Von: “Hilda Bolton”
      An: is gar nicht meine Adresse , frag mich wie sowas in mein Postfach kommt. Ansonsten gleicher Text.
      Sehr geehrte Damen und Herren!
      Die Anzahlung Nr.468119236959 ist erfolgt
      Es wurden 1656.00 EURO Ihrem Konto zu Last geschrieben.
      Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

      Regel Inkasso GmbH & Co. KG
      Fredeburger Str. 21
      33699 Bielefeld

      Postfach 51 20 05
      33698 Bielefeld

      Tel.: 0521 93212-0
      Fa x: 0521 92412-15

      AG Bielefeld HRA 13169
      Steuer-Nummer: 349/5749/0377

      Komplementargesellschaft:
      Regel Verwaltungs-GmbH
      AG Bielefeld HRA 34932

    • Falls ihr euch infiziert habt könnt ihr auf Nummer sicher gehen und das System neu aufsetzen.
      Ihr könnt auch einen kompletten Systemcheck mit AntiVir machen, dann mit Spybot und anschließend nochmal mit AntiVir. Einige Virenprogramme erkennen den Trojaner schon. Vor dem Check solltet ihr Spybot und AntiVir nochmal updaten. Zusätzlich sollte der Zugriff auf die oben genannten Domains und Server verhindert werden.

    • Meine Mum hat leider die Datei ausgeführt. AntiVir hat nichts erkannt. Gibt es noch einen ausweg ausser das System neu aufzusetzen? DANKE FÃœR DIE HILFE!!!!!!!!!!!!!!!!!!

    • avg.comAVG Free- E-Mail Scanner erkennt das ding.

      “Viruses found in the attached files.
      The file abrechnung.zip: Trojan horse Pakes.ANT. The attachment was moved to the Virus Vault.

      Checked by AVG – http://www.avg.com
      Version: 8.0.175 / Virus Database: 270.9.10/1810 – Release Date: 24.11.2008 14:36″

    • Ik hjeb hem ontvangen om 17.12 uur, mijn virusscanner AVG had het ZIP bestand zelf al verwijderd, overigens was mijn bedrag 8,652 euro:-(

    • Bei mir sind die jetzt schon in Massen unterwegs, habe insgesamt etwa 8 Stück dieser Dreckschleudern bekommen. Die erstem vier heute Vormittag hat mein AVG noch nicht erkannt, die letzten 4 aber schon und die .zip – Dateien bereits beim Abruf in Quarantäne (Virus-Vault) eingesperrt, so daß die Mails ohne Anhang mit entsprechendem Hinweis im Fach gelandet sind.
      Offenbar sind sehr viele betroffen, es scheint sich um eine Massenattacke zu handeln. Beim Inkassounternehmen habe ich probeweise mal am späten Nachmittag angerufen (nach Dienstschluß) und es war dauerbesetzt.

      @Fred
      bevor Du das System paltt machst und wieder neu aufspielst, versuch doch mach nachträglich eine Aktualisierung von AntiVir. Wenn da nix geht, schmeiß AntiVir vorübergehend runter und spiel dir AVG free edition drauf, aktualisiere die sofort nach Installation und mach einen Virencheck. AVG erkennt die Viren und beseitigt sie!
      http://free.avg.de/

    • presseportal.deInzwischen ist es das ganze auch polizeikundig geworden und die Bielefelder Firlma hat Anzeige erstattet:

      http://www.presseportal.de/polizeipresse/pm/12522/1307791/polizei_bielefeld/rss

    • Ich habe mich wohl auch infiziert. Nach einem Neustart Bootet der PC zwar, aber die explorer.exe wird nicht gestartet. Ich habe per CMD herausgefunden, dass die Datei im Windowsordner vorhanden ist, allerdings wird mir gemeldet, dass sie nicht existiert, wenn ich sie starten möchte. Irgendwelche Ideen?

    • Ich befinde mich in Tschechien und habe es gestern gleich zweimal bekommen:
      von Eddie Oconnell sear@agt. net und von Les Dick akstcdanespomnsdgs@danespo.com.
      Die Anlage habe ich nicht geöffnet und gleich lösche ich es.
      Danke allen für die Berichte und Anregungen.
      Es grüßt
      Georg

    • SICP-BBCode-EnterpriseExpertProgrammer

      virustotal.comAh, Trend erkennt den http://www.virustotal.com/de/analisis/9e0572bff5a3a34b20fc1f65ae3faee4 jetzt mit dem finalem 5.673.00 endlich auch als WORM_AUTORUN.BWQ . Das hätte er aber eigentlich auch mit dem CPR finden können….
      Ich hab auf jeden Fall schon um kurz nach 14:00 Uhr erste HTTP Zugriffe auf univnext.cn gesehen, welche aber von der Firewall gedropt wurden. Die IP wurde wegen der Sache vor ein paar Wochen bereits gesperrt. Zugriffe auf die anderen IPs konnte ich bisher nicht sehen.

    • Und was sagt uns dass ???? Schmeißt die scheiß PCs weg und holt Euch ´nen Mac !!!

    • Danke an Googlemail

      Sie haben die Anhänge direkt gelöscht:

      Warnung: Diese Nachricht enthielt einen oder mehrere Dateianhänge, die entfernt wurden
      Warnung: (abrechnung.zip, abrechnung.lnk, scann.a)
      Warnung: Bitte lesen Sie den oder die “Hostmax-Attachment-Warning.txt” Dateianhänge für genauere Informationen.

    • SICP-BBCode-EnterpriseExpertProgrammer

      A:
      Deine “Festung” von einem Mac verhindert also auch das du selbst Shellscripts oder ähnliches aus einer dubiosen Mail heraus öffnest!?
      Nur CommonSenseAntivirus2008®, kostenlos erhältlich für jede Plattform, würde so etwas effektiv abfangen. Tut mir leid das du es nicht zu haben scheinst.
      Und dein Beitrag sagt uns, dass du mal die Rechtschreibkorrektur deiner Supermaschine einschalten solltest.

    Leave a Reply




    economics-recluse
    Scene
    Urgent!