Tag Archive for 'Konto eroeffnet'

wsnpoem: Kostenauflistung.rar

Seit heute Mittag verbreitet sich WSNPoem mit eine neue Spam-Welle:

Sehr geehrte Damen und Herren

Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.

Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.

Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.

Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.

Wir warten auf Ihre Entscheidung.

Wie immer haben die Mail-Autoren Probleme mit den Umlauten im E-Mail Text. Der Betreff der E-Mail variiert:

  • Abbuchungsvertrag
  • Lastschrift
  • Mietvertrag
  • Bestellugsvertrag
  • Abrechnungsvertrag
  • Konto eroeffnet
  • Leihvertrag
  • Abbuchungserlaubnis
  • Ihr neuer Arbeitsvertrag
  • Auch die Anrede im E-Mail Text ist nicht immer die Selbe:

  • Guten Tag!
  • Hallo
  • Sehr geehrte Damen und Herren
  • Das Attachement “Kostenauflistung.rar” enthält die ausführbare Datei “Kostenauflistung.exe”, welche den Trojaner wsnpoem beinhaltet. Derzeit erkennen nur 2 Antivirenhersteller die Malware:

    Filename: Kostenauflistung.exe (von Kostenauflistung.rar)
    File size: 58368 bytes
    MD5…: 7e472329517dde73c40e7e02949a4790
    SHA1..: 84fa881dcb52d9c2157b986b440372be52b19eec
    Erkennungsrate: 2/33 (6.07%)

    Wie immer gilt, bei verdächtigen Attachements Vorsicht walten zu lassen. Für diejenigen, für welche dieser Hinweis zu spät kommt, empfiehlt sich der Artikel Entfernen von WSNPoem um den Trojaner vom System zu entfernen.

    UPDATE 18:58 Uhr

    Nach erfolgter infizierung nimmt der Trojaner, wie schon sein Vorgänger, Kontakt mit fixbserver.ru (91.203.92.27) auf und lädt dort ein Konfig-File sowie weiteren schädlichen Code nach:

    http://fixbserver.ru/bconfig/bconfigAhsAAs.bin
    Filename: bconfigAgsAAs.bin
    File size: 895 bytes
    MD5…: 0346cfb09141adeef8cb488bf2ca3eb2
    SHA1..: 872cab3c64519faeeb1a86bdc716302991d6227c
    Erkennungsrate: 1/33 (3.04%)
    http://fixbserver.ru/bconfig/bconfigAhsAAs.exe
    Filename: bconfigAhsAAs.exe
    File size: 50176 bytes
    MD5…: c961d9af5dfa3519c676287df88b7bee
    SHA1..: 25a3ca29ff448dce6ed1b983603344b970d730cb
    Erkennungsrate: 10/33 (30.31%)

    Etwas “neues” scheint die Datei “wli.exe” zu sein, welche der Trojaner ebenfalls nachladet:

    http://91.203.92.4/wli.exe
    File size: 25088 bytes
    MD5…: a2623f87a42a79a1ada6889a337c2827
    SHA1..: 28da8e9010d93e595e473d73fc74a76b99d834f9
    Erkennungsrate: 13/33 (39.39%)

    Der Trojaner meldet sich regelmässig bei “seinem Besitzer” und erzählt im einiges über den infizierten Computer (Land/IP Adresse/Betriebssystem):

    http://fixbserver.ru/bconfig/bredir22.php



    economics-recluse
    Scene
    Urgent!