Tag Archive for 'gozi'

Page 2 of 4

Gefälschte E-Mails mit news.ch als Absender im Umlauf

Auch heute, kurz nach Mittag, traf erneut eine Spam-Welle die Schweiz:

Von: multimedia@news.ch
Betreff: UBS FINANZKRISE: Im Heimmarkt soll sich die UBS auf ein starkes Retailgeschaft

Gegen die Krise

Radikaler Umbau bei der UBS
Die Konzernspitze der UBS will mit einem radikalen Umbau der Grossbank endlich den ersehnten Boden unter den Fussen erreichen:
Die UBS soll sich von der Vision eines globalen Finanzmulti verabschieden und zu ihren Wurzeln zuruckfinden zuruck zum Heimmarkt Schweiz.

Bis ins Einzelne>>

Mit den herzlichen Grüßen, Violet Bledsoe.

Diesmal täuschen die Spam-Mails einen der folgenden Absender von der Online Zeitschrift news.ch vor:

  • multimedia@news.ch
  • infografik@news.ch
  • bildstrecke@news.ch
  • stories@news.ch
  • story@news.ch
  • mehr@news.ch
  • kontext@news.ch
  • google@news.ch
  • Auch der Betreff scheint sich jeweils zu unterscheiden:

  • UBS FINANZKRISE: Im Heimmarkt soll sich die UBS auf ein starkes Retailgeschaft
  • UBS FINANZKRISE: Das haben Recherchen der «Handelszeitung» in Fuhrungskreisen
  • UBS FINANZKRISE: Daruber hinaus wird die zweite UBS-Fuhrungsriege
  • UBS FINANZKRISE: Mit der Ankundigung, dass trotz Staatshilfe fur 2008 Boni ausbezahlt
  • UBS FINANZKRISE: Die UBS kampft mit einem angeschlagenen Image.
  • UBS FINANZKRISE: die Bank weiter ins Abseits gestellt.
  • UBS FINANZKRISE: Wie es um die Marke UBS steht, erklart Sven Henkel von der Uni St. Gallen. Mehr…
  • UBS FINANZKRISE: «Klare Ansage ware besser gewesen» Mehr…
  • Der E-Mail Text des Spam-Mails ist jeweils der selbe. Auch dieses mal verbirgt sich hinter dem E-Mail Text “Bis ins Einzelne>>” einen Link zu einer der folgenden Domains:

  • intsaellubs.com
  • resetupblackwhite.com
  • downloandlogin.com
  • heltrowdownload.com
  • privateupdater.com
  • intrustinset.com
  • Klick der Empfänger des Spam-Mails auf den im E-Mail Text angegebenen Link, gelangt dieser auf eine der oben genannten Domains, welche vorgeben, der Webauftritt von 20min Online zu sein:

    gozi_news_ch

    Dabei wird dem Besucher die Datei adobeplayer_10.exe angeboten, welche den Trojaner Gozi (aka Infostealer) enthält und nach Ausführung Zugangsdaten zum Online Banking und anderen Online Diensten stiehlt:

    Filename: adobeplayer_10.exe
    MD5: e7adf2b9766df2e37740347532a5f4af
    SHA1: 4100e62ba2223f0541b08aaf84f547264ef4684b
    Erkennungsrate: 10/36 (27.78%)

    Die Melde- und Analysestelle Informationssicherung MELANI hat heute Nachmittag eine entsprechende Information veröffentlicht:

    UPDATE der Information: E-Mail-Welle mit dem Ziel, Schweizer Computer zu infizieren

    Erneut gefälschte 20min E-Mails im Umlauf

    Seit wenigen Minuten versenden die Kriminellen erneut Spam-Mails in der Schweiz, welche vorgeben, von der Gratiszeitung 20 Minuten zu stammen. Der E-Mail Text ist dabei der selbe wie gestern:

    Von: “Swiss Kontakt” support@20min.ch
    Betreff: ZURICH ALARM:Die Gesamtzahl der Neueinsteigerinnen ist mit 605 tiefer als 2007 (645)

    ZÃœRICH

    50 Prozent mehr Ost-Prostituierte
    Die Zahl der Prostituierten aus Osteuropa wächst rasant: Von dort stammt fast die Hälfte der Frauen, die 2008 von der Stapo Zürich neu registriert worden sind.

    Bis ins Einzelne>>

    Mit den herzlichen Grüßen, Carlos Hanley.

    Auch dieses mal ist hinter dem Text “Bis ins Einzelne>>” ein Link zu einer Webseite hinterlegt, welche versucht dem Besucher den Trojaner Gozi (aka Infostealer) unter zu jubeln. Dabei handelt es sich im Vergleich zu gestern um 5 neue Domains:

  • chminuten.com
  • prostflashplayer.com
  • 2omitunen.com
  • adobereunionplayers.com
  • intalldetrosflash.com
  • lastversionadplayer.com
  • E-Mail Betreff, Absender E-Mail Adresse, E-Mail Text sowie das auf der Webseite angebotene Exe sind die selben wie gestern.

    Auch dieses mal gilt: Führen Sie auf keinen Fall das auf den Webseiten angebotene EXE-File VideoPlayer_10.exe aus. Für Unternehmen empfiehlt es sich auch dieses mal wieder, die oben genannten Domains an ihren Gateways zu blockieren.

    Weitere Infos finden sich im Artikel von gestern: Gefälschte E-Mails mit 20minuten als Absender im Umlauf




    economics-recluse
    Scene
    Urgent!