Trojaner-Board - Bahn.de Spam: Ihren Fahrkartenkauf (Auftrag WA98L2)

Ihren Fahrkartenkauf (Auftrag WA98L2)

Wer eine Mail mit dem Betreff

Zitat:

"Ihren Fahrkartenkauf (Auftrag WA98L2)"
(Auftragsnummern können varieren)
erhält, sollte diese an uns weiterleiten.

From: buchungsbestaetigung@bahn.de
(gefälschter Absender)
Subject: Ihren Fahrkartenkauf (Auftrag WA98L2)
Ihren Fahrkartenkauf (Auftrag WA98L2)
Sehr geehrte,

vielen Dank für Ihren Fahrkartenkauf bei
bahn.de.

Ihre persönlichen Buchungsdaten:

Auftragsnummer: PNO1HK
Kundennummer: 35571574

Das sollten Sie wissen:

- Bitte drucken Sie Ihr Online-Ticket im DIN A4 Format aus!

- Bei der Kontrolle wird der Zugbegleiter die Identifizierungskarte und
* den Barcode in sein Kontrollgerät einlesen. Hierzu überreichen Sie ihm
* bitte das Ticket sowie die angegebene Identifizierungskarte

- Falls sich Ihre Reiseplanung ändert, können Sie Ihr Online-Ticket im
* Rahmen der tariflichen Zulässigkeit über
www.bahnde/erstattung
* stornieren oder in DB Reisezentren zurückgeben.

Tipps für Ihre Reise:

Ist mein Zug pünktlich?
DB Bahn: Aktuelle Abfahrts- und Ankunftszeiten

Alternative Zugverbindungen
DB Bahn: Besser informiert, schneller am Ziel

Mobile Auskünfte und Ticketbuchung über Ihr Handy oder iPad
DB Bahn: Mobile Services

Für Rückfragen stehen wir Ihnen gerne zur Verfügung
(täglich von 07:30 bis 21:00 Uhr):

DB Vertrieb GmbH
Online-Vertrieb
Postfach 60 05 04
D-22205 Hamburg

E-Mail:
fahrkartenservice@bahn.de
Telefon: 0 18 05 / 10 11 11*
*14 ct/Min. aus dem Festnetz, Tarif bei Mobilfunk max. 42 ct/Min.

Wir wünschen Ihnen eine gute Reise.

Mit freundlichen Grüßen
Ihr Team von
bahn.de

DB Vertrieb GmbH
Stephensonstraße 1
60326 Frankfurt am Main

Handelsregister B des Amtsgerichts Frankfurt am Main
HRB 79808
Ust-IdNr.: DE 814160246

Die DB Vertrieb GmbH wird vertreten durch die Vorsitzende der Geschäfts-
führung Frau Birgit Bohle, den Geschäftsführer Finanzen & Controlling
Herrn Ulrich Jäkel und den Geschäftsführer Personal Herrn Ottmar Netz.

Es hängt an:

Code:

Ihren Fahrkartenkauf_17G1LG.zip

(Nummern können varieren).

Rund 26,5 KB groß.

Virustotal Ergebniss der enthaltenen .EXE Datei:
 https://www.virustotal.com/de/file/8...is/1368614217/

SHA256:

87a49e0c82c9b1620867ea75a3e4b0c1a4bb1bf374088b627a1eff7ac344cd47*

Dateiname:

Ihren Fahrkartenkauf_9FJ3AI5.pdf.exe*

Erkennungsrate:

2 / 45 *

Ikarus 

Win32.Outbreak 

Kaspersky 

UDS:DangerousObject.Multi.Generic

Code:

https://www.virustotal.com/file/8bead77f494f9f7bedbcecb1c252f9c79232dc6c317a95afa8f0f656ee376d3b/analysis/1368641140/
 MD5:  1c7f55a0b8310ccfc1ca3c8b23db9719
 SHA1:  38abda2a541bad657ed16f23d62769406f3da233
 Detect: 26 /  46
 
 Trojan.GenericKD.992078  (MicroWorld-eScan)
 Artemis!EA4C997FE1A5  (McAfee)
 W32/Generic!zip-dobleextension  (TheHacker)
 W32/Heuristic-300!Eldorado  (F-Prot)
 Backdoor.Trojan (Symantec)
 TROJ_GEN.F47V0515  (TrendMicro-HouseCall)
 Win32:Trojan-gen  (Avast)
 Suspect.DoubleExtension-zippwd-15  (ClamAV)
 Trojan-Ransom.Win32.Blocker.beqq  (Kaspersky)
 Trojan.Gamarue.AV (BitDefender)
 Troj/Agent-ABSX  (Sophos)
 Heur.Suspicious (Comodo)
 Trojan:W32/Agent.DULK  (F-Secure)
 Trojan.DownLoad3.23586 (DrWeb)
 Trojan.Zip.Bredozp.b  (v) (VIPRE)
 HIDDENEXT/Worm.Gen (AntiVir)
 BKDR_ANDROM.EH  (TrendMicro)
 Artemis!EA4C997FE1A5  (McAfee-GW-Edition)
 Trojan.Gamarue.AV (B)  (Emsisoft)
 VirTool:Win32/Injector  (Microsoft)
 Trojan.GenericKD.992078 (GData)
 Backdoor.Trojan  (PCTools)
 Win32/TrojanDownloader.Wauchos.I  (ESET-NOD32)
 Trojan.Injector (Ikarus)
 W32/Blocker.BEQQ!tr  (Fortinet)
 FakeAlert (AVG)

Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
c:\docume~1\alluse~1\dxedhhl.exe

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung[/QUOTE]