SWIFT von Accounts01 ([email protected]) bringt Trojanisches Pferd (Java.Adwind)

Am Mittwoch, den 11. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail ist gefälscht! Klicken Sie nicht auf die Anlage! Sie würden damit Ihren Computer infizieren (Trojanisches Pferd / Java.Adwind)!

Betreff: SWIFT
Absender: Accounts01 ([email protected])

Hi,

Attached is the swift copy as directed by our sister company

Thank you!

 

Alexandra
Accounts Department
Email: [email protected]
Tel: 945-627-3525 Ex. 9365

Achtung: Es handelt sich um eine gefälschte E-Mail! Öffnen Sie daher nicht die Anlage!

Der E-Mail ist eine. jar-Datei beigefügt:

11102017BXNM.jar

Laut Virustotal wird diese Datei bisher nicht als bösartig erkannt.

Sobald die Datei ausgeführt würde, werden weitere Dateien angelegt.

_0.9297313512131645675955361177407450.class
_0.026280004746912612031056502832898524.class

Laut Virustotal liegt die Erkennungsrate für die .class-Dateien bei 43/60!

Windows6706036316835709149.dll

Laut Virustotal liegt die Erkennungsrate für die „Windows6706036316835709149.dll“ bei 45/66!

 

Neben den o. g. Dateien werden weitere Verzeichnisse mit Dateien angelegt, auf die später in der Registry verwiesen wird:

fUTkALeaTxM\DdWDtpinxpf

fUTkALeaTxM\ID.txt

lxVDhYorsKw\fbGZcQarcpH.HJdTRP
lxVDhYorsKw\ID.txt
lxVDhYorsKw\ouJsXjlOLJ.SqHAD

 

Außerdem sorgt ein Eintrag in der Registry dafür, dass die bösartige Software mit dem Computer-Start ebenfalls geladen wird:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: BIAyweQfEpe
Daten: „C:\Users\user\AppData\Roaming\Oracle\bin\javaw.exe“ -jar „C:\Users\user\jWDnWFzFOXG\fbGZcQarcpH.HJdTRP“

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.