RE: P/O von Marketing ([email protected])

Kommentar hinterlassen

Am Dienstag, den 18. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161018_re_p_o

Betreff: RE: P/O
Absender: Marketing ([email protected])

Attached is the Purchase order list

please confirm so we can proceed.

Thank you.

Als Anlage ist der Nachricht das ZIP-Archiv „New P.O.zip“ beigefügt, welches eine Java-Datei „New P.O.jar“ enthält:

20161018_re_p_o_jar

Virustotal zeigt für die Java-Datei eine Erkennungsrate von 20/55 (Java/Adwind). Öffnen Sie daher nicht das .zip-Archiv und führen Sie nicht die .jar-Datei aus!

 

Die Java-Datei wird in der Registry eingetragen, damit sie bei jedem PC-Start ausgeführt wird:

„C:\Users\user\AppData\Roaming\Oracle\bin\javaw.exe“ -jar „C:\Users\user\nIpSbSdYkku\hKYeNtMyWZr.wzZaSS“

 

Im Temp-Verzeichnis werden wenige Minuten nach der Ausführung verschiedene .dll-Dateien angelegt. Die Erkennungsrate laut Virustotal liegt für alle Dateien bei 0/56.

20161018_re_p_o_dll

sqlite-3.8.11.2-4d886020-857e-41d6-976e-3d462028c649-sqlitejdbc.dll
Windows1133843618892133600.dll
Windows5325171625237322590.dll

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert