Trojaner-Board - airline-direct Spam: E-Tickets/Reiseplan zu Buchung PCSBHG

E-Tickets/Reiseplan zu Buchung PCSBHG

Wer eine Mail mit dem Betreff

Code:

 

"E-Tickets/Reiseplan zu Buchung PCSBHG"

Erhält, sollte diese an uns weiterleiten.

Von: service-norply@airline-direct.de

[mailto:service-norply@airline-direct.de] 

 

Betreff: E-Tickets/Reiseplan zu Buchung PCSBHG

 

 

 

Sehr geehrte Damen und Herren,

 

im Anhang an diese Email erhalten Sie Ihre Reiseunterlagen (E-Tickets) zur

Buchung PCSBHG sowie einige hilfreiche Informationen für Ihre Reise.

 

Bitte prüfen Sie die E-Tickets auf Vollständigkeit und Richtigkeit. Im Falle

von Unstimmigkeiten setzen Sie sich bitte umgehend telefonisch mit uns in

Verbindung.

 

Haben Sie an eine Reiseversicherung gedacht? Unsere Mitarbeiter beraten Sie

gern.

 

Bitte antworten Sie nicht auf diese Email. Um uns zu schreiben, steht Ihnen

unser Kontaktformular zur Verfügung: Kontakt

 

Wir wünschen Ihnen einen angenehmen Flug und danken Ihnen nochmals für Ihre

Buchung bei uns.

Mit freundlichen Grüßen

 

Ihr airline-direct Serviceteam

 

E-Mail Kontakt: Kontakt

 

airline-direct.de

Boppstraße 10

10967 Berlin
 Billige Flüge buchen bei airline direct | Günstige Flug Angebote & Flugreisen

Es hängt an:
Eticket-Reiseplan_PCSBHG.zip
Rund 36,6 KB
Virustotal Ergebniss der enthaltenen Exe-Datei:
https://www.virustotal.com/file/6063...is/1378978229/
MD5: f1f3d983e68ba806660f4e2347561638
SHA1: 74306e1717a65d8eeec8ffbe5b6b5bf8020e3d49
Detect: 32 / 47

Trojan.Agent.BAGE (MicroWorld-eScan)
RDN/Generic Downloader.x!il (McAfee)
Trojan.Crypt.NKN (Malwarebytes)
Riskware (K7AntiVirus)
Riskware (K7GW)
Posible_Worm32 (TheHacker)
W32/Zbot.BUK (F-Prot)
Backdoor.Trojan (Symantec)
Crypt.CFMU (Norman)
BKDR_ANDROM.LO (TrendMicro-HouseCall)
Win32:Inject-AYL [Trj] (Avast)
Trojan-Spy.Win32.Zbot.pqpz (Kaspersky)
Trojan.Agent.BAGE (BitDefender)
Troj/Agent-ADMT (Sophos)
Heur.Suspicious (Comodo)
Trojan.Agent.BAGE (F-Secure)
Trojan.PWS.Siggen1.7724 (DrWeb)
Trojan.Win32.Generic!BT (VIPRE)
TR/Rogue.AI.7 (AntiVir)
BKDR_ANDROM.LO (TrendMicro)
Heuristic.BehavesLike.Win32.ModifiedUPX.F (McAfee-GW-Edition)
Trojan.Agent.BAGE (B) (Emsisoft)
Win32.Troj.Generic.a.(kcloud) (Kingsoft)
Worm:Win32/Gamarue (Microsoft)
Trojan/Win32.Zbot (AhnLab-V3)
Trojan.Agent.BAGE (GData)
W32/Backdoor.HZXL-5517 (Commtouch)
Win32/TrojanDownloader.Wauchos.K (ESET-NOD32)
Trojan-Dropper.Agent (Ikarus)
W32/Tepfer.AAX!tr.pws (Fortinet)
BackDoor.Generic17.BHAO (AVG)
Trj/dtcontx.G (Panda)

Es handelt sich hierbei um worm.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
10006
c:\dokume~1\alluse~1\dxjgprga.exe

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
diskpart.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\nw16.exe

Hierbei handelt es sich um eine Banking Malware

die Malware verbindet zu:

tapadacultural.com/lists/texts/s.exe

dotier.net/zeta.php

Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in der Zwischenzeit Onlinebanking betrieben hatt, sollte dies sperren lassen, und darüber nachdenken, das System neu aufzusetzen, da es die sicherste Möglichkeit ist.
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/140999-airline-direct-spam-e-tickets-reiseplan-buchung-pcsbhg.html