GIMA ORDER von Eric Chaw ([email protected]) lädt über eine beigefügte Word-Datei eine bösartige Software nach!
Am Pfingstmontag, den 21. Mai 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht vom darin genannten Absender! Öffnen Sie nicht das beigefügte Word-Dokument! Bereits beim Öffnen wird ohne Nachfrage ein Trojanische Pferd nachgeladen, welches den PC infiziert!
Betreff: GIMA ORDER
Absender: Eric Chaw ([email protected])Dear Sir,
How are you?
Could you please send us your best quotation for our attached GIMA Order:
Thanks & Rgds
Eric Chaw
—————————————————————————————————————————–Mob: +86-13485555386
Email: [email protected]
Skype: czwoski
Web: www.adhmt.com
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!
Der E-Mail ist eine angebliche Microsoft Word – Datei beigefügt:
GIMA ORDER NO9032767023[.doc
Öffnen Sie nicht die Datei!
Beim Öffnen der Microsoft Word – Datei würde folgende Meldung angezeigt:
Das Dokument enthält Verknüpfungen, die möglicherweise auf andere Dateien verweisen. Möchten Sie das Dokument mit den Daten aus den verknüpften Dateien aktualisieren?
Im Hintergrund würde das Dokument die Adresse dhm-mhn.com/sunday/htaneljenny.hta aufrufen. Hierbei handelt es sich um folgendes Script:
Von der Adresse dhm-mhn.com/sunday/neljenny.exe würde eine ausführbare Datei „neljenny.exe“ geladen, die sich z. B. als „ileka.exe“ in das Roaming-Verzeichnis legt:
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 23/65! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit der IP-Adresse detailingpro.co.in/wp-includes/ID3/nelsonpanelnew/gate.php Kontakt aufnehmen!