Zitat von John Laska ([email protected]) bringt eine bösartige Software über ein Word-Makro!

Am Donnerstag, den 27. September 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Die E-Mail stammt nicht von dem genannten Absender! Öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt ein Trojanisches Pferd nach!

Betreff: Zitat
Absender: John Laska ([email protected])

Hallo,

können sie E-Mail mir eine zitat ein die Befestigung.

Danke!

John Laska
Child Nutrition Director

The Palace Casino-Moincorp Co. Inc

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das beigefügte Dokument und führen Sie das Makro nicht aus!

Das Word-Dokument „CND zitat.doc“ würde so aussehen:

This Document Is Protected!
1 If this document downloaded from internet , please click“Enable editing“ from the yellow bar above.
2 Once you have enabled editing , please click „Enable content“ on the yellow bar above.

Ein bösartiges Makro würde von der Adresse

• davidcorr290.5gbfree.com/ live.msi

eine Datei nachladen. Laut Virustotal liegt die Erkennungsrate für diese Datei bei 2/59.

 

Das Programm legt im Roaming-Verzeichnis ein Unterverzeichnis an.

Laut Virustotal wird die „F20758.exe“ bereits mit 21/69 erkannt.

In der Registry gibt es entsprechende Einträge mit Verweis auf diese Datei.

Schlüsselname: HKEY_CURRENT_USER\������Џ��������ќ��ў�Ѝ��А��Й���Й��я��
Name: D6C13F
Daten: %APPDATA%\D6C13F\F20758.exe

 

Das Programm sendet Daten an die Adresse paadasala.com.au/reg/owo/five/fre.php .

Kommentar(e)