Trojaner-Board - talkline.de Spam: Neue Mobilfunk-Rechnung

Neue Mobilfunk-Rechnung

Wer eine Mail mit dem Betreff
"Neue Mobilfunk-Rechnung"
Erhält, sollte diese an uns weiterleiten.
Von: anarchismbcp749@turktelekom.com.tr
<mailto:anarchismbcp749@turktelekom.com.tr
Datum: 14. August 2013 11:05:39 MESZ

Betreff: Neue Mobilfunk-Rechnung

Rechnungsnummer M12046838794 Talkline <Start - Talkline
Rechnungsdatum 14.08.2013
Ihre Kundennummer 14540191

Sehr geehrte,

Ihre aktuelle Rechnung liegt für Sie bereit. Mehr Details in der Datei.

Wir danken Ihnen für Ihr Vertrauen.

Service & Kontakt
Kontakt <https://www2.talkline.de/kontakt/kon...=04&vp_nummer=
Kontakt<https://www2.talkline.de/
Hier bekommen Sie Antworten Zielnetzabfrage <Start - Talkline
Zielnetzabfrage<http://www.talkline.de/zielnetzabfrage?dbcp=&vp_nummer=
Das Netz Ihres Gesprächspartners
Meine Rechnung <myTalkline - Talkline
Rechnung<myTalkline - Talkline
Ihre Rechnung direkt online abrufen Web-SMS
<Praktisch: SMS einfach übers Web versenden - Talkline
Web-SMS<Praktisch: SMS einfach übers Web versenden - Talkline
Täglich eine Frei-SMS versenden
Kosten-Check <http://www.talkline.de/kosten-check?dbcp=06&vp_nummer=
Kosten-Check<http://www.talkline.de/kosten-check?dbcp=06&vp_nummer=
Aktuelle Guthaben & Verbindungen Vertragsverlaengerung
<http://www.talkline.de/vertragsverla...=10&vp_nummer=
Vertragsverlängerung<http://www.talkline.de/vertragsverla...=10&vp_nummer=
Attraktive Handys und Prämien
myTalkline <https://signin.talkline.de/login?dbcp=07&vp_nummer=
myTalkline<https://signin.talkline.de/login?dbcp=07&vp_nummer=
Ihre Vertragsdaten online verwalten Aktuelles
<https://www.talkline.de/kundenvortei...=11&vp_nummer=
Kundenvorteile<https://www.talkline.de/kundenvortei...=11&vp_nummer=
Exklusive Angebote zum Stöbern

Hinweis:
Bitte antworten Sie nicht auf diese E-Mail, da diese E-Mail-Adresse nur zum
Versand dieser Benachrichtigung eingerichtet wurde. Bei Fragen oder Anregungen
nutzen Sie bitte unserKontaktformular
<https://www2.talkline.de/kontakt/kon...=12&vp_nummer=.

Talkline - Eine Marke der mobilcom-debitel GmbH Hollerstraße 12624782
BüdelsdorfGeschäftsführung: Rickmann von Platen, Ingo ArnoldSitz der
Gesellschaft ist SchleswigAmtsgericht Flensburg, HRB 0794 SLUSt-ID.: DE
194910634Aufsichtsbehörde: Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und EisenbahnenTulpenfeld 4, 53113 Bonn

talkline.de <http://talkline.de|mobil.talkline.de
<http://mobil.talkline.de|md.de <http://md.de>|mobil.md.de
<http://mobil.md.de|freenet.de <http://freenet.de|mobil.freenet.de
<freenet Mobilportal - Nachrichten, E-Mails, Chat. Liveticker und Services auf Ihrem Handy!

Es hängt an:
Neue Mobilfunk-Rechnung.zip
Rund 26,7 KB
Virustotal Ergebniss der enthaltenen Exe-Datei:
https://www.virustotal.com/en/file/9...is/1376473408/
SHA256:
96b3e75b85c92a94fc9f0dad302cd5af07db6a668eea54f64d923fd4ba449757
File name:
Neue Mobilfunk-Rechnung.pdf.exe
Detection ratio:
4 / 45
AhnLab-V3
Win-Trojan/Malpacked3.Gen
AntiVir
HEUR/Malware
Jiangmin
Win32/Virut.bn
Kaspersky
UDS:DangerousObject.Multi.Generic

Es handelt sich hierbei um worm.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
10006
c:\dokume~1\alluse~1\dxxftrmaq.exe

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{EA1178B6-687E-CA32-BA95-58EB2E5E1C2E}
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ufquqo\fupoko.exe"

Hierbei handelt es sich um die Banking Malware Citadel

die Malware verbindet zu:

wendtundwendt.de/callback/pn_sofortueberweisung/powercont.exe

avini.ru/warradale.php

suburban.su/chevrolet.php

gatumi.com/welcome.php

Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in der Zwischenzeit Onlinebanking betrieben hatt, sollte dies sperren lassen, und darüber nachdenken, das System neu aufzusetzen, da es die sicherste Möglichkeit ist.
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/139830-talkline-de-spam-neue-mobilfunk-rechnung.html