December Report von [email protected] bringt eine bösartige Software!

Am Freitag, den 15. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Das beigefügte Word-Dokument lädt eine bösartige Software nach! Öffnen Sie daher nicht die Anlage!

Betreff: December Report
Absender: [email protected]

Hello.

The attachment in this email is the November and December neighborhood
report for you.
Kindly check it out.

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht den Anhang!

Die E-Mail kommt mit einem Word-Dokument:

report.doc

Das Microsoft Word-Dokument sieht so aus:

Außer einem Makro ist kein Inhalt zu sehen. Führen Sie nicht das Makro aus!

Von der Adresse begumkapyar.com/report/report.exe würde eine ausführbare Datei nachgeladen.

report.exe

Laut Virustotal beträgt die Erkennungsrate 20/67!

Die bösartige Datei würde sich z. B. als „ax2s.exe“ in das Roaming-Verzeichnis legen.

Über die Registry wird bei jedem PC-Start ein Command-Befehl ausgeführt:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: report
Daten: cmd /c type C:\Users\user\AppData\Local\Temp\report.txt | cmd

Dieser sieht zwar zunächst nicht nach einer ausführbaren Datei aus. Bei näherer Betrachtung der Text-Datei fällt aber auf, dass damit eine ausführbare Datei gestartet wird:

C:\Users\user\AppData\Roaming\ax2s.exe
exit

Der Trojaner wird somit bei jedem PC-Start ausgeführt.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert