Hotel.de Spam: Reservierung [02342731], Tue, 21 May 2013
 

Reservierung [02342731], Tue, 21 May 2013 12:39:22 +0100


Wer eine Mail mit dem Betreff
Es hängt an:
Hotel Reservierung 0760646.zip
Rund 54,8 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:

https://www.virustotal.com/file/ff56...is/1369144617/
MD5: cd84490434f11448fdca1ebffa083e14
SHA1: 7ab438122b43bf3c21c571b39b559d72e53e5a7d
Detect: 11 / 47

Win32:Trojan-gen (Avast)
Mal/Generic-S (Sophos)
BackDoor.IRC.NgrBot.42 (DrWeb)
TR/Injector.wwga (AntiVir)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
VirTool:Win32/CeeInject.gen!JQ (Microsoft)
Dropper/Win32.Injector (AhnLab-V3)
a variant of Win32/Injector.AGWW (ESET-NOD32)
Trojan.Agent!534F (Rising)
Trojan-Spy.Win32.Zbot (Ikarus)
Trj/Genetic.gen (Panda)


Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
c:\docume~1\alluse~1\dxcovnfhl.exe

Starteintrag für Andromeda.

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{F9880A03-0C3D-CA0D-0C74-DEE287DC9A27}
"C:\Documents and Settings\Administrator\Application Data\Ebodzuf\ygirwa.exe"

Starteintrag für Zbot (Banking Malware)

die Malware verbindet zu:

westsailors.com/LL/images/hhost.exe

westsailors.com/LL/images/mouse.exe

euspeed.pl/oliver.php

modemi.pl/melony.php

cheapware.pl/csi.php

sngroup.pl/index.php

Diese Malware ist in der Lage, sensible Daten zu stehlen.
Passwörter, Banking Daten, etc.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen