Spam: Your video may have illegal content
 

Im moment wird folgene Nachicht als Spam verteilt:
Your video may have illegal content

Your video may have content that is owned or licensed by Music Publishing Rights Collecting Society.No action is required on your part; however, if you
are interested in learning how this affects your video, please open attached file with Content ID Matches section of your account for more information.Sincerely,-
The YouTube Team
angehangen ist:
Content_ID421107_Matches.zip
diese sind um die 34 kb groß.
Nach dem entpacken findet man folgene datei vor:
SHA256:
a39af6e0f45a03736aa8718f3d7cfc5d0dee6542e562a26776243622f4318fcb*
File name:
Content_ID_Matches.avi.exe*
Detection ratio:
9 / 43*
https://www.virustotal.com/file/a39a...is/1348063929/



AntiVir
BDS/Androm.EB.8
DrWeb
BackDoor.Andromeda.22
ESET-NOD32
Win32/TrojanDownloader.Wauchos.A
Kaspersky
Trojan-Downloader.Win32.Andromeda.bm
Symantec
Backdoor.Trojan

Der andromeda bot ist in der Lage, weitere malware nachzuladen und daten auszuspähen.
dieses sample sendet daten zu folgener ip:
178.208.76.141
Host: tanheaven.co.uk
bzw
Host: a9h23nuianowj12.com
folgener autostart eintrag wird erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
unicode
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msyygru.bat

Da andere andromeda bots von dem oben genannten server auch zbot trojaner geladen haben, ist hier eine analyse infizierter pcs dringend nötig, und der autostart eintrag kann dann wiederum auch anders aussehen.
Jeder, der eine solche verdächtige Mail erhält, sollte diese an uns weiterleiten:
http://markusg.trojaner-board.de
jeder, der diesen Anhang geöffnet hatt, sollte ein thema in den passenen Unterforen erstellen.