Achtung: Trojaner! REQUEST FOR QUOTATION (8,000 Dwt Mini Bulk Carrier) von Rörd Braren Bereederungs- GmbH & Co. KG ([email protected])
Am Montag, den 28. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das ARJ-Archiv enthält ein ausführbares Programm!
Betreff: REQUEST FOR QUOTATION (8,000 Dwt Mini Bulk Carrier)
Absender: Rörd Braren Bereederungs- GmbH & Co. KG ([email protected])
Sir/Madam,
Kindly refer to the enclosed Request for Quotation.
We are looking forward to your kind quotation with your best prices and
delivery time.Please note that the owner is planning to build at least 4 units of this
kind of vessel.Your prompt response is highly appreciated.
Thank you.
Best Regards,
Rörd Braren Bereederungs – GmbH & Co. KG
Technical Purchase
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!
Die beigefügte Datei „RFQ_SCAN_28_08_2017pdf.arj“ enthält das ausführbare Programm „scan_017_0128pdf.exe“. Der Dateiname soll vermutlich ein eingescanntes und als PDF abgespeichertes Dokument vortäuschen. Es handelt sich aber dennoch um eine ausführbare Datei! Virustotal zeigt bereits eine Erkennungsrate von 28/65 für die „scan_017_0128pdf.exe“.
Nach der Infektion des Rechners versucht das Trojanische Pferd, mit der Adresse vlaevj.xyz/roko/fre.php Kontakt aufzunehmen.
Außerdem scheint im Roaming-Verzeichnis ein Unterverzeichnis angelegt zu werden, in das zwei Dateien gesteckt werden. In der Registry wird ein entsprechender Verweis darauf ergänzt. Die ausführbare Datei „F20758.exe“ wird laut Virustotal nicht als schädliche Datei erkannt.
Registry:
Schlüsselname: HKEY_CURRENT_USER\������Љ�����ч��Ѝ���Й��я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe