Hotel.de (.info) Reservierungsbestätigung SPAM
Folgene Mails werden im Namen von hotel.de bzw hotel.info verteilt.
Die Absender Adresse ist gefälscht und die genannten Seiten bzw. deren
Betreiber haben nichts mit dem Spam zu tun.
Betreff
Reservierung [86554426], Tue, 2 Oct 2012 13:49:43 +0100
("Buchungsnummer" kann von mail zu mail varieren)
Zitat:
Reservierung
Buchungsnummer: 998355356
Buchungsdatum: Tue, 2 Oct 2012 13:49:43 +0100
Mehr Details in der beigefugten Datei
Hotelname: Sundance Grande Mountain Resort & Spa
(hotellnamen und Buchungsbetrag können ebenfalls unterschiedlich sein)
Stra#223;e: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)
Fax: +43/4275/2675670
Anreise: 09.10.2012 Anzahl N#228;chte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis:75,00 EUR
Der Gesamtpreis beinhaltet 4,11 EUR Steuern und Abgaben.
Hinweis: Diese Buchung ist per Kreditkarte gesichert.
--------------------------------------------------------------------------------
Mit freundlichen Grußen
Ihr hotel.de/hotel.info-Teamhotel.de AG -
www. hotel.de
-
www. hotel.info Aufsichtsratsvorsitzender:
Tobias RaggeHRB 22864, Amtsgericht Nurnberg
Angehangen ist ein Archiv, Beispiel name:
Reservierung-Hotel-BuchungsnummerR90101096.zip
Dieses ist um die 33 KB groß
enthalten ist eine:
Reservierung-Hotel-DE.pdf.exe rund 48 kb groß.
|
Zitat:
SHA256:
8697fa166d79f648bbb8396f9c9b1155d999faa32fd2658500fb7c8a8c126991
File name:
Reservierung-Hotel-DE.pdf.exe
Erkennung:
AntiVir: BDS/Androm.EB.15
Comodo: Heur.Suspicious
DrWeb: BackDoor.Andromeda.22
ESET-NOD32: Win32/TrojanDownloader.Wauchos.A
Ikarus: Trojan-Spy.Agent
Kaspersky: Trojan-Downloader.Win32.Andromeda.ky
McAfee : Artemis!31145D8EB31D
PCTools : Backdoor.Trojan
Symantec : Backdoor.Trojan
TrendMicro-HouseCall : TROJ_GEN.F47V1002
https://www.virustotal.com/file/8697...6991/analysis/ |
Wie man an den Ergebnissen erkennen kann, handelt es sich hier um
Backdoor.Andromeda.
Dieser instaliert auf den PCS betroffener einen
Banking Trojaner.
Folgene Dateien werden unter anderem in XP erstellt:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0014bca7.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0014fbd3.exe
Wobei hier file und folder namen random (zufällig) sind, es handelt sich hierbei um
zbot.
C:\Documents and Settings\Administrator\Application Data\Siux\rywutay.evo
C:\Documents and Settings\Administrator\Application Data\Tuob\alalyb.exe
Autostart keys:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{F9880A03-0C3D-CA0D-0C74-DEE287DC9A27}
"C:\Documents and Settings\Administrator\Application Data\Tuob\alalyb.exe"
(zbot)
Zitat:
Folgene Files werden von verschiedenen gehackten servern geladen:
mrt6.exe
SHA256:
015b4a850ba625b8c500a05cff9ff4205085d257b7fa07ac2a884d9fa0442948
https://www.virustotal.com/file/015b...2948/analysis/
AntiVir: TR/Obfuscate.abq.3
Avast: Win32:Dropper-gen [Drp]
Comodo: Heur.Suspicious
DrWeb: Trojan.PWS.Siggen.40630
ESET-NOD32: a variant of Win32/Injector.XDL
F-Secure: Gen:Variant.Graftor.44591
GData: Gen:Variant.Graftor.44591
Kingsoft: Win32.Malware.Generic.a.(kcloud)
Microsoft: TrojanDownloader:Win32/Cutwail.BS
TrendMicro-HouseCall: TROJ_GEN.F47V1002
VBA32: BScope.Malware-Cryptor.2791
VIPRE: Trojan.Win32.Generic!BT
|
Wie wir an der Microsoft Erkennung erkennen, handelt es sich um
Cutwail, damit wird der PC in ein Spam Botnet eingebunden und es wird evtl. weitere Malware nachgeladen, möglicherweise auch Rootkits.
Diese wird mit folgenem autostart Eintrag geladen:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
qafinsogyczo
C:\Documents and Settings\Administrator\qafinsogyczo.exe
Zitat:
Weiterhin wird der Zbot Dropper Geladen:
1ri.exe, die ebenfalls von einem gehackten server geladen wird.
SHA256:
c992d964b9c603dacc471560dd2b1cb18f9b84a2236b0ac1d50b3cf4a4602618
File name:
1ri.exe
Detection ratio:
16 / 42
https://www.virustotal.com/file/c992...is/1349201886/
AhnLab-V3: Spyware/Win32.Zbot
AntiVir: TR/Crypt.XPACK.Gen
Avast: Win32:Dropper-gen [Drp]
AVG: Pakes.LPT
Commtouch: W32/Zbot.BJI
DrWeb: BackDoor.Andromeda.22
ESET-NOD32: Win32/Spy.Zbot.ZR
F-Secure: Trojan-Spy:W32/Zbot.BBGQ
Fortinet: W32/Zbot.ESKS!tr
GData: Gen:Variant.Graftor.44600
Ikarus: Trojan-PWS.Win32.Zbot
Jiangmin: Trojan/Obfuscated.clvz
Microsoft: PWS:Win32/Zbot
Panda: Trj/Genetic.gen
TrendMicro-HouseCall: TROJ_GEN.RC1H1J2
VIPRE: Trojan.Win32.Zbot.ghi (v)
|
Es wird außerdem Das windows sicherheits Center deaktiviert, und der Phishing Filter des IEs deaktiviert.
Was zu tun ist:
- Leitet uns verdächtige E-Mails weiter:
http://markusg.trojaner-board.de
- Wenn ihr diese Malware ausgeführt habt, und Onlinebanking verwendet, informiert eure Bank umgehend über dieses Problem.
Außerhalb der Öffnungszeiten nutzt die Telefonnummer, 116 116.
- Wenn ihr diesen Mail anhang ausgeführt habt, eröffnet ein neues Thema
bei uns im Forum:
http://www.trojaner-board.de/plagege...n-bekaempfung/
- wenn ihr Onlinebanking und sonstige Zahlungsabwicklungen im Internet
vornehmt (auch Einkäufe) solltet ihr den PC formatieren, Windows neu
instalieren und den PC danach absichern:
http://www.trojaner-board.de/96344-a...tml#post627442 
03.10.2012, 09:17
Linear-Darstellung
