first-class-zollservice Spam: Luftfrachsendung AWB

markusg

Luftfrachsendung AWB


Wer eine Mail mit dem Betreff "Luftfrachsendung AWB"
erhält, sollte diese an uns weiterleiten.

From: "Information" <info@first-class-zollservice.de> (gefälschter Absender)
To:
Subject: Luftfrachsendung AWB
Date:
Luftfrachsendung AWB
Luftfrachsendung AWB

Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke**

Mit freundlichen Grüßen

First Class Zollservice &

Transportvermittlungs GmbH

Niederlassungsleiter

Nordendstraße. 32 B

64546 Mörfelden Walldorf

Tel.: 06105 / 40352 11

Fax: 06105 / 40352 20

www.first-class-zollservice.de

Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /

Schulungen im Bereich Zoll- und Außenwirtschaft

Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen(ADSp), jeweils neueste Fassung.

Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen

Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte

je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem,

welcher Betrag höher ist.

Es hängt an:
AWB-Avis 404-45706119.pdf.zip
Nummer kann evtl. varieren.
Rund 11,3KB groß

Scanergebniss der enthaltenen EXE-Datei:

https://www.virustotal.com/file/3147...is/1362499166/
MD5: ce02b23b408b4d155f654b3141ca7392
SHA1: 7a028988ed41b15a353c5d7f522143f338f14582
Detect: 28 / 46

Trojan.Generic.KDV.884539 (MicroWorld-eScan)
Trojan.Generic.KDV.884539 (nProtect)
PWS-Zbot-FAMO!CE02B23B408B (McAfee)
Trojan.Ransom.FMS (Malwarebytes)
Backdoor.Trojan (Symantec)
Troj_Generic.IADUJ (Norman)
BKDR_ANDROM.DSA (TrendMicro-HouseCall)
Win32:Malware-gen (Avast)
Trojan-Downloader.Win32.Andromeda.tcg (Kaspersky)
Trojan.Generic.KDV.884539 (BitDefender)
Trojan.Win32.Agent.30724.A (ViRobot)
Troj/Agent-AAKT (Sophos)
Heur.Suspicious (Comodo)
Backdoor:W32/Agent.DUJI (F-Secure)
Trojan.Packed.23959 (DrWeb)
Trojan.Win32.Generic!BT (VIPRE)
TR/Andromeda.AQ (AntiVir)
BKDR_ANDROM.DSA (TrendMicro)
Heuristic.BehavesLike.Win32.Suspicious-BAY.K (McAfee-GW-Edition)
Trojan.Win32.Zbot (A) (Emsisoft)
Worm:Win32/Gamarue.I (Microsoft)
Trojan.Generic.KDV.884539 (GData)
Trojan/Win32.Inject (AhnLab-V3)
Backdoor.Trojan (PCTools)
Win32/TrojanDownloader.Wauchos.A (ESET-NOD32)
Trojan-Spy.Zbot (Ikarus)
SHeur4.BCPE (AVG)
Trj/Zbot.M (Panda)



Es handelt sich hierbei um Backdoor.Andromeda

Die Malware startet eine Kopie ihrer selbst:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"49942"
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msolaaaz.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Debugger
logonvdmon.exe

Eine weitere Kopie des Backdoors, zu finden unter:
C:\WINDOWS\system32\logonvdmon.exe

Außerdem wird Trojan.Zbot geladen und gestartet:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Random Name
C:\Documents and Settings\Administrator\Application Data\Anory\idwehog.exe

die Malware verbindet zu:

iprice.pl/image.php

dudebox.pl/image.php

dyndin.ru/image.php

linebench.ru/image.php

petblog.pl/image.php

diese ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
http://markusg.trojaner-board.de/
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.[/QUOTE]
- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXe unterzujubeln

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet