Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Hotel.de (.info) Reservierungsbestätigung SPAM

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 03.10.2012, 10:17   #1
AdminBot
Administrator
 
Hotel.de (.info) Reservierungsbestätigung SPAM - Standard

Hotel.de (.info) Reservierungsbestätigung SPAM



Hotel.de (.info) Reservierungsbestätigung SPAM


Folgene Mails werden im Namen von hotel.de bzw hotel.info verteilt.
Die Absender Adresse ist gefälscht und die genannten Seiten bzw. deren
Betreiber haben nichts mit dem Spam zu tun.

Betreff
Reservierung [86554426], Tue, 2 Oct 2012 13:49:43 +0100
("Buchungsnummer" kann von mail zu mail varieren)

Zitat:
Reservierung
Buchungsnummer: 998355356
Buchungsdatum: Tue, 2 Oct 2012 13:49:43 +0100
Mehr Details in der beigefugten Datei
Hotelname: Sundance Grande Mountain Resort & Spa
(hotellnamen und Buchungsbetrag können ebenfalls unterschiedlich sein)
Stra#223;e: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl N#228;chte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis:75,00 EUR
Der Gesamtpreis beinhaltet 4,11 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Kreditkarte gesichert.
--------------------------------------------------------------------------------
Mit freundlichen Grußen
Ihr hotel.de/hotel.info-Teamhotel.de AG -
www. hotel.de
-
www. hotel.info Aufsichtsratsvorsitzender:
Tobias RaggeHRB 22864, Amtsgericht Nurnberg

Angehangen ist ein Archiv, Beispiel name:
Reservierung-Hotel-BuchungsnummerR90101096.zip
Dieses ist um die 33 KB groß
enthalten ist eine:
Reservierung-Hotel-DE.pdf.exe rund 48 kb groß.


Zitat:

SHA256:
8697fa166d79f648bbb8396f9c9b1155d999faa32fd2658500fb7c8a8c126991
File name:
Reservierung-Hotel-DE.pdf.exe
Erkennung:
AntiVir: BDS/Androm.EB.15
Comodo: Heur.Suspicious
DrWeb: BackDoor.Andromeda.22
ESET-NOD32: Win32/TrojanDownloader.Wauchos.A
Ikarus: Trojan-Spy.Agent
Kaspersky: Trojan-Downloader.Win32.Andromeda.ky
McAfee : Artemis!31145D8EB31D
PCTools : Backdoor.Trojan
Symantec : Backdoor.Trojan
TrendMicro-HouseCall : TROJ_GEN.F47V1002
https://www.virustotal.com/file/8697...6991/analysis/
Wie man an den Ergebnissen erkennen kann, handelt es sich hier um Backdoor.Andromeda.
Dieser instaliert auf den PCS betroffener einen Banking Trojaner.

Folgene Dateien werden unter anderem in XP erstellt:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0014bca7.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\0014fbd3.exe

Wobei hier file und folder namen random (zufällig) sind, es handelt sich hierbei um zbot.
C:\Documents and Settings\Administrator\Application Data\Siux\rywutay.evo
C:\Documents and Settings\Administrator\Application Data\Tuob\alalyb.exe

Autostart keys:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{F9880A03-0C3D-CA0D-0C74-DEE287DC9A27}
"C:\Documents and Settings\Administrator\Application Data\Tuob\alalyb.exe"
(zbot)

Zitat:
Folgene Files werden von verschiedenen gehackten servern geladen:
mrt6.exe
SHA256:
015b4a850ba625b8c500a05cff9ff4205085d257b7fa07ac2a884d9fa0442948
https://www.virustotal.com/file/015b...2948/analysis/

AntiVir: TR/Obfuscate.abq.3
Avast: Win32:Dropper-gen [Drp]
Comodo: Heur.Suspicious
DrWeb: Trojan.PWS.Siggen.40630
ESET-NOD32: a variant of Win32/Injector.XDL
F-Secure: Gen:Variant.Graftor.44591
GData: Gen:Variant.Graftor.44591
Kingsoft: Win32.Malware.Generic.a.(kcloud)
Microsoft: TrojanDownloader:Win32/Cutwail.BS
TrendMicro-HouseCall: TROJ_GEN.F47V1002
VBA32: BScope.Malware-Cryptor.2791
VIPRE: Trojan.Win32.Generic!BT
Wie wir an der Microsoft Erkennung erkennen, handelt es sich um Cutwail, damit wird der PC in ein Spam Botnet eingebunden und es wird evtl. weitere Malware nachgeladen, möglicherweise auch Rootkits.

Diese wird mit folgenem autostart Eintrag geladen:
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
qafinsogyczo
C:\Documents and Settings\Administrator\qafinsogyczo.exe


Zitat:
Weiterhin wird der Zbot Dropper Geladen:
1ri.exe, die ebenfalls von einem gehackten server geladen wird.

SHA256:
c992d964b9c603dacc471560dd2b1cb18f9b84a2236b0ac1d50b3cf4a4602618
File name:
1ri.exe
Detection ratio:
16 / 42
https://www.virustotal.com/file/c992...is/1349201886/

AhnLab-V3: Spyware/Win32.Zbot
AntiVir: TR/Crypt.XPACK.Gen
Avast: Win32:Dropper-gen [Drp]
AVG: Pakes.LPT
Commtouch: W32/Zbot.BJI
DrWeb: BackDoor.Andromeda.22
ESET-NOD32: Win32/Spy.Zbot.ZR
F-Secure: Trojan-Spy:W32/Zbot.BBGQ

Fortinet: W32/Zbot.ESKS!tr
GData: Gen:Variant.Graftor.44600
Ikarus: Trojan-PWS.Win32.Zbot
Jiangmin: Trojan/Obfuscated.clvz
Microsoft: PWS:Win32/Zbot
Panda: Trj/Genetic.gen
TrendMicro-HouseCall: TROJ_GEN.RC1H1J2
VIPRE: Trojan.Win32.Zbot.ghi (v)
Es wird außerdem Das windows sicherheits Center deaktiviert, und der Phishing Filter des IEs deaktiviert.


Was zu tun ist:
- Leitet uns verdächtige E-Mails weiter:
http://markusg.trojaner-board.de

- Wenn ihr diese Malware ausgeführt habt, und Onlinebanking verwendet, informiert eure Bank umgehend über dieses Problem.
Außerhalb der Öffnungszeiten nutzt die Telefonnummer, 116 116.
- Wenn ihr diesen Mail anhang ausgeführt habt, eröffnet ein neues Thema
bei uns im Forum:
http://www.trojaner-board.de/plagege...n-bekaempfung/
- wenn ihr Onlinebanking und sonstige Zahlungsabwicklungen im Internet
vornehmt (auch Einkäufe) solltet ihr den PC formatieren, Windows neu
instalieren und den PC danach absichern:
http://www.trojaner-board.de/96344-a...tml#post627442

Antwort

Themen zu Hotel.de (.info) Reservierungsbestätigung SPAM
anhang ausgeführt, artemis!, backdoor.andromeda, backdoor.andromeda.22, backdoor.trojan, cutwail, ebanking, gen:variant.graftor, heur.suspicious, hotel.de, kreditkarte, personen, pws:win32/zbot, reservierung, reservierung-hotel-de.pdf.exe, reservierungsbestätigung, spyware/win32.zbot, sundance grande mountain resort, tr/crypt.xpack.ge, trj/genetic.gen, trojan-spy.agent, trojan.delf.inject.ck, trojan.pws.siggen, trojan.win32.generic, trojandownloader:win32/cutwail.bs, unterschiedlich, win32.malware.generic.a.(kcloud), win32/cutwail.bs, win32/spy.zbot.zr, win32/trojandownloader.wauchos.a



Ähnliche Themen: Hotel.de (.info) Reservierungsbestätigung SPAM


  1. E-Mail von -info@fceobudu.edu.ng- erhalten. Spam?
    Überwachung, Datenschutz und Spam - 12.08.2014 (6)
  2. Amazon Spam von "info@amazon.de"
    Plagegeister aller Art und deren Bekämpfung - 01.07.2014 (14)
  3. Roth Maddox (info@tvendingen.ch) SPAM!
    Überwachung, Datenschutz und Spam - 28.02.2014 (0)
  4. Win XP: Nach Protugal Hotel WIFI, permanente Werbung Popup
    Log-Analyse und Auswertung - 05.10.2013 (5)
  5. Windows 7: "Hotel-Reservierungs-Falle" - Computer Infiziert
    Log-Analyse und Auswertung - 19.08.2013 (1)
  6. Hotel.de(.info) Spam: Reservierung 400469698
    Diskussionsforum - 10.06.2013 (0)
  7. Hotel.de Spam: Reservierung [02342731], Tue, 21 May 2013
    Diskussionsforum - 21.05.2013 (0)
  8. Merkwürdiges Verhalten bei Laptop-Benutzung im Hotel - Windows Update
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (0)
  9. Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch
    Plagegeister aller Art und deren Bekämpfung - 03.04.2013 (17)
  10. Hotel.de Trojaner
    Log-Analyse und Auswertung - 22.03.2013 (37)
  11. SPAM: Atlantic Hotel
    Diskussionsforum - 13.03.2013 (0)
  12. Hotel-WLAN manipuliert alle abgerufenen Webseiten
    Nachrichten - 09.04.2012 (0)
  13. "Hotel Loews Regency made wrong transaction" // Email-Spam
    Überwachung, Datenschutz und Spam - 30.07.2011 (2)

Zum Thema Hotel.de (.info) Reservierungsbestätigung SPAM - Hotel.de (.info) Reservierungsbestätigung SPAM Folgene Mails werden im Namen von hotel.de bzw hotel.info verteilt. Die Absender Adresse ist gefälscht und die genannten Seiten bzw. deren Betreiber haben nichts mit dem - Hotel.de (.info) Reservierungsbestätigung SPAM...
Archiv
Du betrachtest: Hotel.de (.info) Reservierungsbestätigung SPAM auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.