Tag Archive for 'marsdenpilgrimages.com.au'

Emold: Statement.Jan,Oct.zip

Published on October 21, 2008 in Malware & Virus Analysing. 1 Comment Tags: , , , .

Seit heute Morgen kurz nach 9:00 Uhr verbreitet sich Emold (aka AutoRun) mit einer neuen Spam-Welle:

Betreff: Statement Januar – October
Please find the document attached to this message. The report was issued today. Requested account details have been altered successfully.

Thank you for contacting us.

Respectfully,
Antoinette

Betreff der E-Mail variiert:

  • Data request
  • Statement Januar – October
  • Account information
  • Attached Statement

    • Im Attachement Statement.Jan,Oct.zip befindet sich die ausführbare Datei Statement_January-October.doc.exe im welcher sich der Trojaner Emold befindet:

    Filename: Statement_January-October.doc.exe
    File size: 47616 bytes
    MD5…: 7c90658b942d2608e44d2c85955318f8
    SHA1..: dd37c8255d37cca6e87257c2265fdd36629b073d
    Erkennungsrate: 6/36 (16.67%)

    Nach der Infektion lädt der Trojaner weiteren Schadcode von peterharris.com.au (202.191.62.240) sowie marsdenpilgrimages.com.au (202.191.61.82) nach:

    GET http://peterharris.com.au/lsys/lscan2.exe
    GET http://marsdenpilgrimages.com.au/lsys/lscan2.exe

    Filename: lscan2.exe
    File size: 23552 bytes
    MD5…: c1b7ea81f3f8517a89f568ad6f416040
    SHA1..: 7309e9f44cfed11dea8c174afc48ed400f7065af
    Erkennungsrate: 6/36 (16.67%)

    Mit installiert wird auch der Spam-Mailer Cutwail, welcher den Infizierten Rechner in einen Spam-Bot verwandelt.
    economics-recluse
    Scene
    Urgent!