December Report von [email protected] bringt eine bösartige Software!
Am Freitag, den 15. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Das beigefügte Word-Dokument lädt eine bösartige Software nach! Öffnen Sie daher nicht die Anlage!
Betreff: December Report
Absender: [email protected]Hello.
The attachment in this email is the November and December neighborhood
report for you.
Kindly check it out.
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht den Anhang!
Die E-Mail kommt mit einem Word-Dokument:
report.doc
Das Microsoft Word-Dokument sieht so aus:
Außer einem Makro ist kein Inhalt zu sehen. Führen Sie nicht das Makro aus!
Von der Adresse begumkapyar.com/report/report.exe würde eine ausführbare Datei nachgeladen.
report.exe
Laut Virustotal beträgt die Erkennungsrate 20/67!
Die bösartige Datei würde sich z. B. als „ax2s.exe“ in das Roaming-Verzeichnis legen.
Über die Registry wird bei jedem PC-Start ein Command-Befehl ausgeführt:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: report
Daten: cmd /c type C:\Users\user\AppData\Local\Temp\report.txt | cmd
Dieser sieht zwar zunächst nicht nach einer ausführbaren Datei aus. Bei näherer Betrachtung der Text-Datei fällt aber auf, dass damit eine ausführbare Datei gestartet wird:
C:\Users\user\AppData\Roaming\ax2s.exe
exit
Der Trojaner wird somit bei jedem PC-Start ausgeführt.