Re: Bank confirmation von ARABIAN ENGINEERING EQUIPMENT’S TRD. LLC. ([email protected]) bringt eine bösartige Software!

Am Donnerstag, den 22. Februar 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von der genannten Person oder Firma! Öffnen Sie nicht das ZIP-Archiv und führen Sie die darin enthaltene Datei nicht aus! Es handelt sich um eine bösartige Software! 

Betreff: Re: Bank confirmation
Absender: ARABIAN ENGINEERING EQUIPMENT’S TRD. LLC. ([email protected])

Dear (E-Mail-Adresse),

ARABIAN ENGINEERING EQUIPMENT’S TRD. LLC. sent you this email message with the following file attachments:

– Bank confirmation.zip (600.1 KB)

Comment: Good Morning,

Thank you for sending the documents.
Please find attached bank confirmation.
Could you send us back with your signature
and dated if everything is correct? That’s just
for our payment procedure. We will arrange payment
once we receive this document.

Thanks,
Abdul Rasheed,
Sr. Sales Engineer.

ARABIAN ENGINEERING EQUIPMENT’S TRD. LLC.
PO Box-444811, Dubai, UAE. Tel – 971 4 269 5593
E : [email protected] | W: www.arabianlc.com

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!

Die E-Mail kommt mit der Datei „Bank confirmation.zip“. Darin ist eine ausführbare Datei mit dem gleichen Namen enthalten:

Bank confirmation.zip

Bank confirmation.exe

Nach der Ausführung würde die Datei unter dem Namen „Windows Update.exe“ bzw. „WindowsUpdate.exe“ auf dem Computer abgespeichert. Laut Virustotal liegt die Erkennungsrate bei 19/66!

Die ausführbare Datei wird per Registry bei jedem PC-Start ausgeführt:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: Windows Update
Daten: C:\Users\user\AppData\Roaming\WindowsUpdate.exe

Neben den beiden ausführbaren Dateien werden noch die „pid.txt“, die nur eine Zahl enthält (vermutlich Bot-ID) und die „pidloc.txt“, die den Pfad zur ausführbaren Datei enthält, auf dem System angelegt.

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert