Fw:SHIPPING ADVICE & SHIPMENT ARRIVAL NOTICE MARCH von Kathy from DHL SHIPPING OFFICE ([email protected]) bringt eine bösartige Software!
Am Montag, den 19. März 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von DHL! Öffnen Sie daher nicht die Anlagen!
Betreff: Fw:SHIPPING ADVICE & SHIPMENT ARRIVAL NOTICE MARCH
Absender: Kathy from DHL SHIPPING OFFICE ([email protected])Dear Sir,
Reference below shipments and Documents Delivery.
Pls Urgently comfirm attached draft shipping document (Bill of lading, Invoice, Packing list) as per Shipment schedule plan.
Please take a look and see if everything is Ok or if we can Revise below info accordingly to your Forwarder suggestion?
Best Regards,
Emily Chang
DHL LOGISTICS AGENTThank You
DHL
WORLDWIDE EXPRESS
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlagen!
BL doc march.ace
BL doc march.exeInvoice & Packing List.ace
Invoice & Packing List.exe
Wie schon in der E-Mail „FW: PO#53466702 von Joy Leong ([email protected])“ vom 19.03.2018 würde sich der Trojaner im Roaming-Verzeichnis ablegen:
F20758.exe
Laut Virustotal liegt die Erkennungsrate für die Datei bei 17/66!
Nach der Ausführung trägt sich das Programm in die Registry ein, um bei jedem PC-Start ausgeführt zu werden (dies ist nur ein Beispiel, es gibt mehrere Einträge in der Registry):
Schlüsselname: HKEY_CURRENT_USER\���������������������Ё������Й��М����я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe
Nach der Infektion nimmt das Programm mit der Adresse 185.24.233.117/~zadmin/frb/cache.php Kontakt auf.