Fw:SHIPPING ADVICE & SHIPMENT ARRIVAL NOTICE MARCH von Kathy from DHL SHIPPING OFFICE ([email protected]) bringt eine bösartige Software!

Am Montag, den 19. März 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von DHL! Öffnen Sie daher nicht die Anlagen!

Betreff: Fw:SHIPPING ADVICE & SHIPMENT ARRIVAL NOTICE MARCH
Absender: Kathy from DHL SHIPPING OFFICE ([email protected])

Dear Sir,

Reference below shipments and Documents Delivery.

Pls Urgently comfirm attached draft shipping document (Bill of lading, Invoice, Packing list) as per Shipment schedule plan.

Please take a look and see if everything is Ok or if we can Revise below info accordingly to your Forwarder suggestion?

Best Regards,

Emily Chang
DHL LOGISTICS AGENT

Thank You

DHL
WORLDWIDE EXPRESS

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlagen!

BL doc march.ace
BL doc march.exe

Invoice & Packing List.ace
Invoice & Packing List.exe

Wie schon in der E-Mail „FW: PO#53466702 von Joy Leong ([email protected])“ vom 19.03.2018 würde sich der Trojaner im Roaming-Verzeichnis ablegen:

F20758.exe

Laut Virustotal liegt die Erkennungsrate für die Datei bei 17/66!

 

Nach der Ausführung trägt sich das Programm in die Registry ein, um bei jedem PC-Start ausgeführt zu werden (dies ist nur ein Beispiel, es gibt mehrere Einträge in der Registry):

Schlüsselname: HKEY_CURRENT_USER\���������������������Ё������Й��М����я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe

Nach der Infektion nimmt das Programm mit der Adresse 185.24.233.117/~zadmin/frb/cache.php Kontakt auf.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.