Achtung: vermeintliche Word-Dokumente können bösartige Software ohne Nachfrage nachladen und ausführen! FW: PO#53466702 von Joy Leong ([email protected])

Am Montag, den 19. März 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von dem genannten Absender! Besonders gefährlich: bereits beim Öffnen der angehängten Word-Datei wird eine bösartige Datei nachgeladen und ausgeführt. Öffnen Sie daher nicht das Dokument!

Betreff: FW: PO#53466702
Absender: Joy Leong ([email protected])

Hi PK

I have attached our PO#53466702/Z62 to your company for the scope of supply as specified on the attached Purchase Order

Thank You & Best Regards,

Joy Leong

Purchasing Administrator

Thales Solutions Asia Pte Ltd

DID: (+65) 6594 6659

[email protected]

Address: 21 Changi North Rise

Singapore 498755

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage!

PO#53466702.doc

Das Word-Dokument würde wie folgt aussehen:

 

Error opening doc. Try again

Allerdings wäre zu diesem Zeitpunkt (wenn der Text zu sehen ist) bereits eine bösartige Software nachgeladen und ausgeführt worden.

F20758.exe

Laut Virustotal liegt die Erkennungsrate für die Datei bei 22/65!

 

Nach der Ausführung trägt sich das Programm in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\������Ј��я������ќ��Б��Й���Й��я��

Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe

Schlüsselname: HKEY_USERS\S-1-5-21-2229692433-2410099114-2137066497-1000\������Ј��я������ќ��Б��Й���Й��я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe

Nach der Infektion nimmt das Programm mit der Adresse www.pepedey.com/new/five/fre.php Kontakt auf.

Kommentar(e)

Ein Kommentar

Schreibe einen Kommentar zu Claus Büttner-Wobst Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert