Vodafone spam: You have received a new message

Wer eine Mail mit dem Betreff "You have received a new message" erhält, die angeblich von Vodafones MMS-Gateway stammt, sollte diese besser gleich ungesehen löschen.

Zitat:

Von: mms@vodafone.de [mailto:mms@vodafone.de]

Betreff: You have received a new message

Description: Description: Vodafone

Zitat:

You have received a picture message from mobile number +491528648371
To save this picture, please save attached file.

You can reply once to this message via MMS for free!
To send a reply containing pictures, audio or video,
<hxxp://getmyphoto.vodafone.de/mcp-vfg-prd_uk/front?cmd=anonlogin> click here to visit our on-line composer.
Alternatively, you can send a text-only reply (limited to 500 characters),
simply by clicking your usual reply button. By replying to this message you
agree to our terms and conditions. Please see our Website Terms and
Conditions at hxtp://www.vodafone.de/termsandconditions for full details.
Only one reply is possible until 11/11/2011.

© 2012 Vodafone D2 GmbH

es hängt an:
Vodafone_MMS.zip, rund 27,2 kb groß

https://www.virustotal.com/file/4fb5...is/1352125239/
MD5: 81e71a6fcdc0d47e3fc2d4989e62f60e
SHA1: 8da7867b2d847fdc0576d1522d94a9bddfc861bd
Detect: 11 / 43

Backdoor.Trojan (Symantec)
W32/Kryptik.BWR (Norman)
Trojan-Downloader.Win32.Andromeda.cnc (Kaspersky)
Trojan:W32/Agent.DUGF (F-Secure)
BackDoor.Andromeda.22 (DrWeb)
BDS/Androm.EB.25 (AntiVir)
BKDR_ANDROM.AE (TrendMicro)
Win32.Malware.Generic.a.(kcloud) (Kingsoft)
Win32/TrojanDownloader.Wauchos.A (ESET-NOD32)
Trojan-Downloader.Win32.Andromeda (Ikarus)
Suspicious file (Panda)


Es handelt sich um den bereits bekannten: Backdoor.Andromeda.

Wenn gestartet, wird eine Kopie der malware in den Autostart eingetragen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"49942" = "C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msetvuaoy.pif"

die Malware verbindet zu:

keple.pl/image.php

diese ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. http://markusg.trojaner-board.de
- Mails, die man erhält, immer gründlich lesen. hier wäre zum Beispiel, die unbekannte Rufnummer zu beachten!
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.

Hallo,

wir haben in der Firma diese E-Mail bekommen. Und diese wurde aufgemacht.

Leider habe ich diese Mail sofort von den/m betroffenen Rechnern gelöscht.

Kaspersky kann das Programm zwar anhalten (vor dem Start) jedoch nicht neutralisieren.

hi dann erstele mal ein thema im passenen unterforum, plagegeister zb.

Danke, erledigt!

ich bekomme die e-mail fast täglich, auch an verschiedene Mail-Adressen. Ich bin von Spam oder Virus ausgegangen und habe immer gelöscht, da sie aber relativ echt aussah (und es diesen Service ja auch gibt), habe ich jetzt schon zwei mal gegooglet und jetzt hier den einzigen Hinweis bisher gefunden, dass es tatsächlich gerade umgeht.
Und da dachte ich, kann ja nicht schaden, hier mal öfter mitzulesen :-)
Habe nichts geöffnet, mail ist noch da.
Weiterleiten ist nicht möglich - erstens wohin? und zweitens verweigert mein Virenschutz den Versand.

gruß
AmiraA

hi
steht eig in der anleitung unter:
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
und dem link darunter.
ich poste ihn dir noch mal :-)
markusg - trojaner-board.de

außerdem stehts noch mal in meiner signatur :-)
also, was du an spam so erhältst, und was nicht von deinem antimalware programm geblockt wird, weiterleiten wenn möglich :-)
bitte warne außerdem freunde, bekannte etc, vor dieser spam masche, und bitte sie, verdächtige mails an uns weiterzuleiten
sende ihnen dazu den von mir geposteten link.
jeder der soziale netzwerke nutzt, möge diese meldung weiterverbreiten, mit bitte, diese zu teilen, sodass möglichst viele leute gewarnt werden.
dort natürlich auch unsere möglichkeit erwähnen, verdächtige mails einzusenden.
je schneller wir sie erhalten, desto eher können wir auf neuigkeiten reagieren, und evtl. neue malware einsenden

sie haben den text ein wenig angepasst, in der neuen spam welle:

Sehr geehrte Damen und Herren,

Sie haben Zusatzdienstleistungen bestellt. Ihre Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Mit freundlichen Gruessen
Ihr Vodafone Team
Mit den Betreibern, der Server, die für den weiteren Download der Malware verantwortlich sind, sind wir bereits in Kontakt, wodurch einige Trojaner gelöscht und Web auftritte erfolgreich abgesichert werden konnten.
Wer mehr solcher Spams reinbekommt, gerne einsenden, wie, steht im ersten Post.

Ich habe heute früh bei einem Kunden solche gesehen, die AV-Programme (auch Malwarebytes' Antimalware) konnten im Anhang aber nichts sehen (auch nicht bei Jotti).

Hi
kannst ja mal weiterleiten, oder die MD5 posten, dann kann ich gucken, ob ich die schon hab.
Die meisten websites, aus den mir vorliegenen Rechnungen haben, wie gesagt, die Malware bereits offline genommen, nur noch eine ist übrig.
im moment ist aber ein anderer spam unterwegs.
persönliche anrede, falsche firmen daten, kennen wir ja vom verschlüsselungstrojaner.
Schadsoftware wird von hier:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
gestartet, zb als
"c:\windows\system32\defs.exe"
Da werden die leute viel freude haben, Wenn sie das mit AV-Software löschen, werden da wohl einige nicht mehr bootbare PC bei raus kommen.
Alles ab reader 9 ist aber nicht betroffen.

Hi,
neuer Text:

Sehr geehrte Damen und Herren,
Ihre Rechnung (Vor- und Nachname)R52286029500802) ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.
Mit freundlichen Gruessen

Ihr Vodafone Team
Datei ist natürlich nicht signiert.
File name:
112012_RechnungV.pdf
Detection ratio:
5 / 43
https://www.virustotal.com/file/4ca8...is/1353340625/
Lücke im Reader 8 wird genutzt.

Zitat:

Zitat von markusg

Datei ist natürlich nicht signiert.

Warum auch?
War technisch immer schon eher sinnfrei und ist seit und ab Sommer letzten Jahres auch von den Behörden (Finanzamt) her nicht mehr nötig.
Also hat selbst ein Spam-Versender nicht nötig per Signatur eine Echtheit vorzugaukeln.

Wollte damit nur auf das in der Mail behauptete eingehen, nicht mehr.

Latürnich, sorry.

neue:

Betreff: Ihre Online-Rechnung vom steht als PDF bereit.

п»їSehr geehrte Damen und Herren,

Der Rechnungsbetrag fГјr den aktuellen
Abrechnungszeitraum beträgt: 21,04 Euro
Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser
E-Mail.

Mit freundlichen GrГјГџen,
Ihr Vodafone Team

Wer mehr bekommt, bitte einsenden.

hier mal wieder eine Neue:
message MMS


Mobile: +491550823040 PDF-Datei im Anhang dieser E-Mail
Mit Hilfe dieses Services k#246;nnen Sie die von Ihnen empfangene MMS (multimedia messages) ansehen. Diese k#246;nnen
Sie an andere Empf#228;nger weiterleitenMMS k#246;nnen von Benutzern versendet werden, die ein MMS-f#228;higes Handy besitzen. MMS k#246;nnen Bild, Ton
oder Video- Daten enthalten. Wenn Ihr Handy diese Nachrichten nicht anzeigen kann, wird diese hierher gesendet wo Sie die MMS ansehen k#246;nnen.Login
Ihr Vodafone Team
wer eine solche bekommt, oder eine ähnliche, gerne weiterleiten.
es handelt sich um den Trojan.zbot
SHA256:
6cebb914b527937beb7106f22a6f79fe1a2601373a702510ad691d94fd7055b8*
File name:
73FH43GS.JPG.exe*
AhnLab-V3
Trojan/Win32.Zbot
AntiVir
TR/Crypt.XPACK.Gen8
ByteHero
Virus.Win32.Heur.c
Comodo
Heur.Suspicious
ESET-NOD32
a variant of Win32/Injector.ABPD
F-Secure
Trojan:W32/Agent.DUII
Fortinet
W32/Zbot.ANM!tr
Kaspersky
UDSangerousObject.Multi.Generic
Malwarebytes
Trojan.Bublik
McAfee-GW-Edition
Heuristic.BehavesLike.Win32.Suspicious-BAY.K
Symantec
Suspicious.Cloud.5
https://www.virustotal.com/file/6ceb...55b8/analysis/