Tag Archive for 'eTicket_N832.zip'

Trojan.Crypt: eTicket_N832.zip

Seit heute Morgen kurz nach 10 Uhr kursieren erneut Spam-Mails mit dem Trojaner “Trojan.Crypt” im Attachement:

To: mario@amorphias.com
Betreff: Your Online Flight Ticket N 61769
Dear Sirs,
Thank you for using our new service “Buy airplane ticket Online” on our website.
Your account has been created:

Your login: *youremailadress*
Your password: passEJL1

Your credit card has been charged for $658.15.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
Southwest Airlines

Die Ticket Nummer im Betreff sowie das password variiert. Als login ist jeweils die Empfänger E-Mail Adresse angegeben. Auch die Signatur scheint zu variieren:

  • American Airlines
  • Southwest Airlines
  • Northwest Airlines
  • Delta Air Lines
  • Spirit Airlines
  • Im Attachement eTicket_N832.zip findet sich der uns bereits von gestern bekannte Trojaner “Trojan.Crypt”:

    Filename: eTicket_N832.doc.exe
    File size: 31232 bytes
    MD5…: e24a4a95745aee0a1d40e8222cf79614
    SHA1..: 695ca4afb825749198d5d635a65238b6ec8e307c
    Erkennungsrate: 7/36 (19.44%)

    Die Malware lädt wie gewohnt Rogue Software nach sowie den Spam-Mailer PushDo. Die vom Trojaner kontaktierten Domains sind immer noch unverändert:

    aaszxe.ru (offline)
    aaszxi.ru (offline)
    aaszxo.ru (offline)
    aaszxp.ru (offline)
    aaszxq.ru (offline)
    aaszxr.ru (91.203.93.10)
    aaszxt.ru (91.203.93.10)
    aaszxu.ru (91.203.93.10)
    aaszxw.ru (91.203.93.10)
    aaszxy.ru (91.203.93.10)

    MELANI hat bereits reagiert und eine entsprechende Warnung herausgegeben:

    9. Update der Warnung: Vermehrt E-Mail-Wellen mit dem Ziel, Schweizer Computer zu infizieren

    PS: Ich bitte die verspätete Meldung durch abuse.ch zu entschuldigen. Ich war den ganzen Tag an einem IT Security Event und konnte deshalb nicht auf die neue Spam-Welle reagieren.




    economics-recluse
    Scene
    Urgent!