Lufthansa Spam: Flugdetails & Reiseinformationen

Im Moment wird im Namen der Lufthansa Spam versendet.

Betreff: Flugdetails & Reiseinformationen

Zitat:

Falls Sie diese Reiseinformation nicht oder nur teilweise lesen konnen, offnen Sie bitte die angehangte PDF-Version. Bitte antworten Sie nicht auf diese E-Mail. Direkt-Antworten an den Absender konnen nicht bearbeitet werden. Um mit Lufthansa in Kontakt zu treten, rufen Sie bitte den Hilfe & Kontakt-Bereich auf www.lufthansa.com auf.


Buchungscode:
9GZYFX

Flugscheindetails & Reiseinformationen in der beigefugten Datei
* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Als Anhang beigefügt ist eine: Lufthansa_0865741909_434872.pdf.zip (Wobei die Nummern varieren)
Diese ist rund 38 KB groß
Das Archiv enthält eine ebenso große Lufthansa Flugscheindetails.pdf.exe


SHA256:
106026c21b0c973dbd18eb435a90e65bc87a7ee5d08f3773a0a6d951f8ff264e
File name:
Lufthansa Flugscheindetails.pdf.exe

Code: Alles auswählenAufklappen

ATTFilter

https://www.virustotal.com/file/106026c21b0c973dbd18eb435a90e65bc87a7ee5d08f3773a0a6d951f8ff264e/analysis/1355765136/
MD5: 28eaa1040f6a8cc19e103b8032f8dc94
SHA1: e66e5855e2157386d7ce60dda2597bcc231df17c
Detect: 16 / 45
 
Trojan.Generic.KD.813322 (MicroWorld-eScan)
PAK_Generic.001 (TrendMicro-HouseCall)
Win32:Trojan-gen (Avast)
Trojan-Dropper.Win32.Dorifel.xom (Kaspersky)
Trojan.Generic.KD.813322 (BitDefender)
Troj/Agent-ZFQ (Sophos)
Trojan:W32/Agent.DUHU (F-Secure)
TR/Injector.LW.4 (AntiVir)
PAK_Generic.001 (TrendMicro)
Trojan.Agent/Gen-Dlg (SUPERAntiSpyware)
Trojan.Generic.KD.813322 (GData)
W32/Trojan2.NUHT (Commtouch)
Win32/TrojanDownloader.Wauchos.A (ESET-NOD32)
Trojan.Win32.Agent (Ikarus)
W32/Wauchos.A!tr.dldr (Fortinet)
Suspicious file (Panda)
         

Damit die Malware bei jedem Systemstart gestartet wird, erstellt sie eine Kopie ihrer selbst im Temp Ordner:

C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msisoyifx.exe

Außerdem einen Starteintrag in der Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942 (wobei die Nummern hier wieder variabel sind)
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msisoyifx.exe*

Sie sendet dann Daten an folgene Server:
headart.pl/image.php
iprice.pl/image.php
linebench.ru/image.php
maidarm.ru/image.php
moid.pl/image.php
wildrive.com/image.php

Außerdem kann sie weitere Malware nachladen.
Es handelt sich hierbei um einen alten Bekannten, Backdoor.Andromeda alias Gamarue

Dieser ist in der Lage, sensible Daten zu stehlen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. http://markusg.trojaner-board.de
- Mails, die man erhält, immer gründlich lesen. Diese Mail steckt voller Fehler, sie kann unmöglich von der Lufthansa stammen.
- Wenn ihr diese Malware ausgeführt habt, und Onlinebanking verwendet, informiert eure Bank umgehend über dieses Problem.
Außerhalb der Öffnungszeiten nutzt die Telefonnummer, 116 116.
- Bitte konfiguriert euer System so, dass ihr doppelte Endungen erkennt.
Öffnet dazu Computer (Arbeitsplatz) Extras, Ordneroptionen, Ansicht. Erweiterungen bei bekannten Dateitypen ausblenden, Haken raus.
Klickt Übernemen/OK.
- Wer diesen Anhang ausgeführt hatt, eröffnet bitte ein eigenes Thema:
http://www.trojaner-board.de/plagege...n-bekaempfung/

Hallo, habe selbes Problem(unglaublich, dass versuchte LH mail zu öffnen,auch wenn mehrere Faktoren zusammenkamen). Allerdings habe ich empfohlene antimalwarebytes geladen(aktualisiert), Vollscan -aber kein Fund. Trotzdem habe ich Probleme: Internet/Kabel wird nicht mehr erkannt, seit heute nicht Verbindung via UMTS stick(gerade externes netbook). Das Ethernet-Kabel geht am anderen netbook, außerdem sehe ich keinen Suchlauf am Gerät(sysmbol taskleiste) wenn ich es einstecke(keine Lämpchen),
Hatte ich nie und Probleme kamen am Tag danach.Verdächtig, was meint Ihr ?

Zitat:

Zitat von jomann

Verdächtig, was meint Ihr ?

Ja, kann aber trotzdem viele Ursachen haben und ein zufälliges, zeitliches Zusammentreffen.

Zur Durchsuchung auf Malware und deren Bekämpfung befändest du dich aber im falschen Unterforum.

Bitte lies folgende verlinkte Anleitung vollständig durch => Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
und erstelle anschließend dort => Plagegeister aller Art und deren Bekämpfung ein neues Thema.