Tag Archive for 'Abbuchungserlaubnis'

wsnpoem: Rechnung.rar

Ich habe heute dutzende solcher Mails in meinen Honigtöpfen gefunden:

Betreff: Leihvertrag

Sehr geehrter Kunde, sehr geehrte Kundin!
Ihr Abbuchungsauftrag Nr. 060659920298 wurde erfullt.
Ein Betrag von 8530.00 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
Sie finden die Details zu der Rechnung im Anhang

PayPal (Europe) S.224; r.l. & Cie, S.C.A.
22-24 Boulevard Royal
L-2449 Luxembourg

Vertretungsberechtigter: Brent Bellm
Handelsregisternummer: R.C.S. Luxembourg B 118 349

Der Betreff des E-Mails variiert zwischen:

  • Leihvertrag
  • Darlehensvertrag
  • Bestellungsvertrag
  • Mietvertrag
  • Konto eroeffnung
  • Abbuchungsvertrag
  • Tilgungsvertrag
  • Ihr neuer Arbeitsvertrag
  • Abbuchungserlaubnis
  • Die Mails tragen alle ein Attachement Namens “Rechnung.rar”, in welchem die ausführbare Datei “Rechnung.exe” steckt:

    Filename: Rechnung.exe
    File size: 66220 bytes
    MD5…: fd2d4bc6798fd373e041c1d28571b57e
    SHA1..: f253bc2e352a4163b8397d700cf60b89fbf6316b
    Erkennungsrate: 14/31 (45.17%)

    Bei dem Attachement handelt es sich eindeutig um unseren geliebten Freund WSNPoem. Nach einer erfolgreichen Infektion legt er das verstecktes Verzeichnis “C:\WINDOWS\system32\wsnpoem” an und erstellt dort die zwei dll-Dateien “audio.dll” und “video.dll”. Danach holt sich der Trojaner das aktuelle Config-File von 91.203.92.4.

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 2.06.08

    MELANI hat soeben eine entsprechende Warnung herausgegeben:

    5. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    UPDATE 6.06.08

    Seit heute Nachmittag sind erneut solche E-Mails im Umlauf: gleicher Betreff, gleicher Text und gleiches Attachement. Die Malware wird nun jedoch von fast allen Antiviren Herstellern erkannt:

    Erkennungsrate: 29/32 (90.63%)

    UPDATE 15.06.08

    Seit heute Nachmittag sind wieder E-Mails mit dem selben Text & Betreff im Umlauf. Das Mail besitzt auch wieder das Attachement “Rechnung.rar” in welchem sich jedoch nun eine neue Variante des Trojaners mit anderem Dateinamen befindet:

    Filename: sconfig_crypt.exe (von Rechnung.rar/4106)
    File size: 68160 bytes
    MD5…: b7d6f50bd91be5863e31388a60840e25
    SHA1..: 34214faee8bb436b7d84be9ae953560399455e2c
    Erkennungsrate: 9/32 (28.13%)

    Nach erfolgter Infizierung lädt der Trojaner ein Konfigurations-File von “fixaserver.ru” (91.203.92.3) und “fixbserver.ru” (91.203.92.27) nach:

    http://fixaserver.ru/sconfig/sconfig.bin

    http://fixbserver.ru/bconfig/bconfig.bin

    Ausserdem lädt er weitere Schadenssoftware nach:

    http://fixbserver.ru/bconfig/bconfig.exe

    Filename: bconfig.exe [Trojan-Spy.Win32.Zbot.cmn]
    File size: 50176 bytes
    MD5…: 7a1f7ba08342830536317c7691a7d651
    SHA1..: 973f497310c0d1a0564dc0a4e5c4905c6e74be57
    Erkennungsrate: 6/33 (18.19%)

    UPDATE 23.06.08

    Erneut sind Mails mit dem selben Betreff & Text unterwegs, jedoch wie gewohnt mit einer neuen Version des Trojaners an Bord. Das RAR-File enthält nun auch wieder die ausführbare Datei Rechnung.exe:

    Filename: Rechnung.exe (von Rechnung.rar)
    File size: 68165 bytes
    MD5…: e3c994e87504f28f60ea663023fd5acb
    SHA1..: a47e0514e08607241f714b82f1c0453f0485d6a8
    Erkennungsrate: 13/33 (39.4%)



    economics-recluse
    Scene
    Urgent!