PDFPart2.pdf von Administrator (admin@Deine Domain)

Am Donnerstag, den 17. März 2016 wurde durch unbekannte Dritte die folgende E-Mail versendet:

20160317_pdfpart2

Absender: Administrator (admin@Deine Domain)

 

Betreff: PDFPart2.pdf

Sent from my Samsung

Galaxy Note 4 – powered by Three

 

Da im Code der E-Mail ein Fehler enthalten ist, wird die Anlage bei den meisten Programmen nicht angezeigt. Entgegen dem Betreff ist auch kein .pdf, sondern eine .zip – Datei mit dem Namen „PDFPart2.zip“ beigefügt.

Die .zip – Datei enthält ein JavaScript mit unterschiedlichen Dateinamen, z. B.

  • GPH2984292208.js
  • SOY3326763505.js

 

Das JavaScript lädt aus dem Verzeichnis /wp-content/plugins/hello123/ verschiedener Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ (89h8btyfde445.exe).

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert