Trojaner-Board - Lufthansa Spam: Flugdetails & Reiseinformationen

Lufthansa Spam: Flugdetails & Reiseinformationen

Im Moment wird im Namen der Lufthansa Spam versendet.

Betreff: Flugdetails & Reiseinformationen

Zitat:

Falls Sie diese Reiseinformation nicht oder nur teilweise lesen konnen, offnen Sie bitte die angehangte PDF-Version. Bitte antworten Sie nicht auf diese E-Mail. Direkt-Antworten an den Absender konnen nicht bearbeitet werden. Um mit Lufthansa in Kontakt zu treten, rufen Sie bitte den Hilfe & Kontakt-Bereich auf www.lufthansa.com auf.

Buchungscode:
9GZYFX

Flugscheindetails & Reiseinformationen in der beigefugten Datei
* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Als Anhang beigefügt ist eine: Lufthansa_0865741909_434872.pdf.zip (Wobei die Nummern varieren)
Diese ist rund 38 KB groß
Das Archiv enthält eine ebenso große Lufthansa Flugscheindetails.pdf.exe

SHA256:
106026c21b0c973dbd18eb435a90e65bc87a7ee5d08f3773a0a6d951f8ff264e
File name:
Lufthansa Flugscheindetails.pdf.exe

Code:

https://www.virustotal.com/file/106026c21b0c973dbd18eb435a90e65bc87a7ee5d08f3773a0a6d951f8ff264e/analysis/1355765136/
 MD5: 28eaa1040f6a8cc19e103b8032f8dc94
 SHA1: e66e5855e2157386d7ce60dda2597bcc231df17c
 Detect: 16 / 45

 
 Trojan.Generic.KD.813322 (MicroWorld-eScan)
 PAK_Generic.001 (TrendMicro-HouseCall)
 Win32:Trojan-gen (Avast)
 Trojan-Dropper.Win32.Dorifel.xom (Kaspersky)
 Trojan.Generic.KD.813322 (BitDefender)
 Troj/Agent-ZFQ (Sophos)
 Trojan:W32/Agent.DUHU (F-Secure)
 TR/Injector.LW.4 (AntiVir)
 PAK_Generic.001 (TrendMicro)
 Trojan.Agent/Gen-Dlg (SUPERAntiSpyware)
 Trojan.Generic.KD.813322 (GData)
 W32/Trojan2.NUHT (Commtouch)
 Win32/TrojanDownloader.Wauchos.A (ESET-NOD32)
 Trojan.Win32.Agent (Ikarus)
 W32/Wauchos.A!tr.dldr (Fortinet)
 Suspicious file (Panda)

Damit die Malware bei jedem Systemstart gestartet wird, erstellt sie eine Kopie ihrer selbst im Temp Ordner:

C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msisoyifx.exe

Außerdem einen Starteintrag in der Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942 (wobei die Nummern hier wieder variabel sind)
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msisoyifx.exe*

Sie sendet dann Daten an folgene Server:
headart.pl/image.php
iprice.pl/image.php
linebench.ru/image.php
maidarm.ru/image.php
moid.pl/image.php
wildrive.com/image.php

Außerdem kann sie weitere Malware nachladen.
Es handelt sich hierbei um einen alten Bekannten, Backdoor.Andromeda alias Gamarue

Dieser ist in der Lage, sensible Daten zu stehlen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. http://markusg.trojaner-board.de
- Mails, die man erhält, immer gründlich lesen. Diese Mail steckt voller Fehler, sie kann unmöglich von der Lufthansa stammen.
- Wenn ihr diese Malware ausgeführt habt, und Onlinebanking verwendet, informiert eure Bank umgehend über dieses Problem.
Außerhalb der Öffnungszeiten nutzt die Telefonnummer, 116 116.
- Bitte konfiguriert euer System so, dass ihr doppelte Endungen erkennt.
Öffnet dazu Computer (Arbeitsplatz) Extras, Ordneroptionen, Ansicht. Erweiterungen bei bekannten Dateitypen ausblenden, Haken raus.
Klickt Übernemen/OK.
- Wer diesen Anhang ausgeführt hatt, eröffnet bitte ein eigenes Thema:
http://www.trojaner-board.de/plagege...n-bekaempfung/