Trojaner-Board - ADP: Payroll Services Spam: Invoice Remit file

Invoice #9784568 - Remit file

Wer eine Mail mit dem Betreff

Zitat:

Invoice #9784568 - Remit file

(Nummern können varieren)
erhält, sollte diese an uns weiterleiten.

From: payroll.invoices@adp.com
(gefälschter Absender)
Betreff: Invoice #9784568 - Remit file
Attached is the invoice (ADP_Invoice_9784568.zip) received from your bank.
Please print this label and fill in the requested information. Once you have filled out
all the information on the form please send it to
payroll.invoices@adp.com.

For more details please see the attached file.
Please do not reply to this e-mail, it is an unmonitored mailbox!

Thank you ,

Automatic Data Processing, Inc.
1 ADP Boulevard
Roseland
NJ 07068

╘ Automatic Data Processing, Inc. (ADP╝) . All rights reserved.
*******************************************************************
This e-mail is confidential. It may also be legally privileged.
If you are not the addressee you may not copy, forward, disclose
or use any part of it. If you have received this message in error,
please delete it and all copies from your system and notify the
sender immediately by return e-mail.

Internet communications cannot be guaranteed to be timely,
secure, error or virus-free. The sender does not accept liability
for any errors or omissions.
*******************************************************************

Es hängt an:
ADP_Invoice_9784568.zip
Rund 99,8 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:

https://www.virustotal.com/file/4a1f...is/1369298387/
MD5: a8aab9bcd389348823b77b090fb0afcc
SHA1: 04c9ce3d810ffb6e4de8460869b7dc8de9fbdf4d
Detect: 26 / 47

BackDoor-FJW (McAfee)
Malware.Packer.RRE (Malwarebytes)
Trojan (K7GW)
W32/Trojan3.CHJ (F-Prot)
Trojan.Zbot (Symantec)
Suspicious_Gen4.EAJFT (Norman)
TROJ_GEN.FD1HZEM (TrendMicro-HouseCall)
Win32:Trojan-gen (Avast)
Trojan-PSW.Win32.Tepfer.kvdh (Kaspersky)
Gen:Variant.Symmi.21358 (BitDefender)
Gen:Variant.Symmi.21358 (F-Secure)
BackDoor.Slym.1748 (DrWeb)
Win32.Malware!Drop (VIPRE)
TR/Agent.125952.79 (AntiVir)
TSPY_FAREIT.TT (TrendMicro)
BackDoor-FJW!A8AAB9BCD389 (McAfee-GW-Edition)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
VirTool:Win32/CeeInject.gen!JN (Microsoft)
Gen:Variant.Symmi.21358 (GData)
W32/Trojan.WBYU-2250 (Commtouch)
Trojan/Win32.FakeAV (AhnLab-V3)
Suspicious.Cloud.7.L (PCTools)
a variant of Win32/Kryptik.BBPQ (ESET-NOD32)
Backdoor.Agent!5459 (Rising)
Trojan-PWS.Win32.Tepfer (Ikarus)
W32/Kryptik.AGAJ!tr (Fortinet)

Es handelt sich hierbei um Zeus Gameover

Folgene Autostart Einträge werden erstellt:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Uwuhd
"C:\Documents and Settings\Administrator\Application Data\Zezuo\uwuhd.exe"*

die Malware verbindet zu:

50.63.222.182/GGBG2H.exe

116.122.158.195:8080/ponyb/gate.php

Diese Malware ist in der Lage, sensible Daten zu stehlen.
Passwörter, Banking Daten, etc.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/135371-adp-payroll-services-spam-invoice-remit-file.html