Tag Archive for '208.66.195.71'

Neue version von Trojan.Win32.Pakes im Umlauf

Published on December 24, 2007 in Malware & Virus Analysing. 0 Comments Tags: , , , , , .

Heute habe ich folgendes Mail in einer meiner Honigtöpfe gefunden:

From: “Horace Parr”
To: marco@rbl.abuse.ch
Subject: Something hot

Helo, buddy!

Hey, Did you see this????? Angelina Jolie played in hardcore porn!!
Watch in attachment…

Good Bye.

Attachement: hard.zip

Im Attachement hard.zip ist folgende Datei zu finden:

File name: hard.scr
File size: 20992 bytes
MD5: 601392bea264054d2a5b02ef79a8d4ab
SHA1: 452360840181742de7d1e5f52958bee45adf1260

Das Attachment ist mit dem Virus Trojan-Dropper.Win32.Agent.dgf (F-Secure) infiziert. Eine frühere Version des Trojaners habe ich am 11. Dezember 2007 bereits einmal analysiert: Post vom 1. Dezember 2007 “Trojan.Win32.Pakes.btf (F-Secure) im Umlauf”

Beim ausführen der Datei hard.scr lädt der Virus zusätzliche Malware nach (Email-Worm.Win32.Agent.bc – F-Secure):

GET 67.18.114.98/*hashkey*
GET 208.66.195.71/*hashkey*

Des weiteren kontaktiert der Virus (wie auch der Vorgänger) die IP-Adresse 216.195.61.87 auf Port 2581
economics-recluse
Scene
Urgent!