Trojaner-Board - 1&1 Telecom GmbH: SPAM

1&1 Telecom GmbH: SPAM

im Namen der 1&1 Telecom GmbH wird vermehrt Spam versendet.

Betreff:
1&1 Telecom GmbH - Ihre Rechnung vom 22.10.2012 (datum kann varieren.

Zitat:

Ihre Kundennummer: 1576461015159

Sehr geehrte Kunden,
heute erhalten Sie Ihre Rechnung vom 22.10.2012 im PDF-Format.
Der Betrag wird in den nachsten Tagen von Ihrem Konto abgebucht.

================================================
Hinweis: Bitte antworten Sie nicht auf diese Nachricht, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

Mit freundlichen Gruessen
Ihre 11 Telecom GmbH

11 Telecom GmbH
Elgendorfer Strasse 57

59585 Montabaur

Im Anhang:
R1500894618.pdf
(dateiname kann variieren.)
Rund 13 kB groß.

SHA256:
680f253e130df33f874f7bad00d239fef001f7a7cc72e3131920c81ac119e23b
File name:
R1500894618.pdf

Code:

https://www.virustotal.com/file/680f253e130df33f874f7bad00d239fef001f7a7cc72e3131920c81ac119e23b/analysis/1351237473/
 MD5: 82dc01f6102cead5026fb2e351e7700e
 SHA1: bbbcca8c960b007bc581d373789e0b5ee6d9776f
 Detect: 24 / 43

 
 Trojan-Exploit/W32.Pidief.13308.JVV (nProtect)
 Generic Exploit!rsg (McAfee)
 JS/Pdfka.HZ (F-Prot)
 Trojan.Pidief (Symantec)
 CVE_2010_0188.A (Norman)
 TROJ_PIDIEF.XPZ (TrendMicro-HouseCall)
 JS:Pdfka-gen [Expl] (Avast)
 Exploit.PDF-28775 (ClamAV)
 Exploit.JS.Pdfka.ggf (Kaspersky)
 PDF.S.Exploit.13308 (ViRobot)
 Troj/PDFJs-AAS (Sophos)
 TestSignature.JS.Pdfka.FBQ (Comodo)
 Exploit:W32/CVE-2010-0188.B (F-Secure)
 EXP/CVE-2010-0188.BC (AntiVir)
 TROJ_PIDIEF.XPZ (TrendMicro)
 Generic Exploit!rsg (McAfee-GW-Edition)
 Exploit.JS.Pdfka (A) (Emsisoft)
 Exploit:JS/Blacole.JJ (Microsoft)
 JS:Pdfka-gen (GData)
 JS/Pdfka.HZ (Commtouch)
 JS/Exploit.Pdfka.PUA (ESET-NOD32)
 JS.Pdfka (Ikarus)
 JS/Pdfka.PUA!exploit (Fortinet)
 Exploit_c.VTD (AVG)

wird diese datei ausgeführt, versucht sie, ein Exploit (Schwachstelle), zu nutzen (CVE-2010-0188). um weitere malware nachzuladen. Es werden dazu 2 Server kontaktiert.
Diese Server sind gehackte legitime Websites.

SHA256:
ed7ecd5e72511c2d84420cdf5240a3aece6e0e0bf005901c54464383f1ce2378
File name:
image.exe

Code:

https://www.virustotal.com/file/ed7ecd5e72511c2d84420cdf5240a3aece6e0e0bf005901c54464383f1ce2378/analysis/1350970721/
 MD5: e9ab3336a95b36db4897ade1d69af612
 SHA1: 6d8088fd5120c4c3ef81000ef35dc86d79b55242
 Detect: 13 / 38
 
 WS.Reputation.1 (Symantec)
 Win32/Spy.Bebloh.J (ESET-NOD32)
 TSPY_ZBOT.XPZ (TrendMicro-HouseCall)
 Win32:Trojan-gen (Avast)
 Trojan.Win32.Inject.euwq (Kaspersky)
 Trojan.Win32.A.Inject.247332 (ViRobot)
 TrojWare.Win32.Trojan.Agent.Gen (Comodo)
 Trojan-Spy.Win32.Zbot.aaoa (v) (VIPRE)
 TR/Strilask.A (AntiVir)
 TSPY_ZBOT.XPZ (TrendMicro)
 Trojan.Win32.Agent.AMN (A) (Emsisoft)
 Win32.Troj.Inject.(kcloud) (Kingsoft)
 Win32:Trojan-gen (GData)

Es handelt sich wiedereinmal, um die Malware Bublik.B, die wir hier bereits in diversen Berichten behandelt haben.

Diese Malware stiehlt sensible Daten, wie zb Onlinebanking Zugänge.

Was zu tun ist:
- Verdächtige mails an uns weiterleiten bitte: http://markusg.trojaner-board.de
dazu gehören mails mit verdächtigen anhängen und links.
- wer diese pdf ausgeführt hat, und seinen PC somit evtl. infiziert hat, sollte, wenn er Onlinebanking macht, umgehend die Bank informieren.
Notfallnummer: 116 116
- ein Thema hier im Forum eröffnen.
- updaten sämmtlicher software:

Da diese Schadsoftware Sicherheitslücken ausnutzt, um überhaupt ins System gelangen zu können, ist aktuell gehaltene Software wichtig!

Windows updates aktivieren:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows
hier bitte den Abschnitt Problem automatisch beheben", lesen und das Fix it ausführen

Secunia Software inspektor instalieren, die offline version:
http://www.trojaner-board.de/83959-s...ector-psi.html
und angebotene Updates umgehend instalieren.

- Betroffene sollten außerdem Anzeige bei der Polizei erstatten.

- Mails müssen immer genauestens geprüft werden.