SWIFT von Accounts01 ([email protected]) bringt Trojanisches Pferd (Java.Adwind)
Am Mittwoch, den 11. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail ist gefälscht! Klicken Sie nicht auf die Anlage! Sie würden damit Ihren Computer infizieren (Trojanisches Pferd / Java.Adwind)!
Betreff: SWIFT
Absender: Accounts01 ([email protected])Hi,
Attached is the swift copy as directed by our sister company
Thank you!
Alexandra
Accounts Department
Email: [email protected]
Tel: 945-627-3525 Ex. 9365
Achtung: Es handelt sich um eine gefälschte E-Mail! Öffnen Sie daher nicht die Anlage!
Der E-Mail ist eine. jar-Datei beigefügt:
11102017BXNM.jar
Laut Virustotal wird diese Datei bisher nicht als bösartig erkannt.
Sobald die Datei ausgeführt würde, werden weitere Dateien angelegt.
_0.9297313512131645675955361177407450.class
_0.026280004746912612031056502832898524.class
Laut Virustotal liegt die Erkennungsrate für die .class-Dateien bei 43/60!
Windows6706036316835709149.dll
Laut Virustotal liegt die Erkennungsrate für die „Windows6706036316835709149.dll“ bei 45/66!
Neben den o. g. Dateien werden weitere Verzeichnisse mit Dateien angelegt, auf die später in der Registry verwiesen wird:
fUTkALeaTxM\DdWDtpinxpf
fUTkALeaTxM\ID.txt
lxVDhYorsKw\fbGZcQarcpH.HJdTRP
lxVDhYorsKw\ID.txt
lxVDhYorsKw\ouJsXjlOLJ.SqHAD
Außerdem sorgt ein Eintrag in der Registry dafür, dass die bösartige Software mit dem Computer-Start ebenfalls geladen wird:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: BIAyweQfEpe
Daten: „C:\Users\user\AppData\Roaming\Oracle\bin\javaw.exe“ -jar „C:\Users\user\jWDnWFzFOXG\fbGZcQarcpH.HJdTRP“