RechnungOnline Monat Februar 2013 (Buchungskonto: 52978332109)


Wer eine Mail mit dem Betreff "RechnungOnline Monat Februar 2013 (Buchungskonto: 52978332109)"
erhält, sollte diese an uns weiterleiten.
(Nummern können evtl. varieren)

From: <rechnungonline4@telekom.de> (gefälschter Absender)
Subject: RechnungOnline Monat Februar 2013 (Buchungskonto: 52978332109)


п»ї

Telekom - Erleben, was verbindet.

Ihre Rechnung fГјr Februar 2013
Sehr geehrte Damen und Herren,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat
Februar 2013 beträgt: *69,95 Euro*.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und
das Rechnungsarchiv finden Sie im _Kundencenter_.

Bei Fragen zu RechnungOnline antworten Sie bitte nicht auf diese
Absenderadresse, sondern nutzen Sie unser _Kontaktformular_.
Mit freundlichen GrГјГџen
Ralf HoГџbach
Leiter Kundenservice
es hängt an:
2013_02rechnung.pdf
Nummer kann evtl. varieren.
Rund 11,2KB groß

Scanergebniss der enthaltenen PDF Datei:
MD5: 613933ce0ba9c306d520dd0433b53aff
SHA1: e8b89db5ae12798098756500af51d773a961e940
Detect: 15 / 46

Exploit.PDF.BH (MicroWorld-eScan)
RDN/Generic Exploit!chj (McAfee)
JS/Pdfka.JP (F-Prot)
Trojan.Pidief (Symantec)
TROJ_PIDIEF.IOK (TrendMicro-HouseCall)
Exploit.PDF.BH (BitDefender)
Troj/PDFJs-ADZ (Sophos)
Exploit:W32/Pidief.DHM (F-Secure)
EXP/Pidief.EB.16 (AntiVir)
TROJ_PIDIEF.IOK (TrendMicro)
Artemis!613933CE0BA9 (McAfee-GW-Edition)
Exploit:Win32/Pdfjsc.AGC (Microsoft)
Exploit.PDF.BH (GData)
JS/Pdfka.JP (Commtouch)
Exploit.Win32.Pdfjsc (Ikarus)
Dieses PDF nutzt eine Sicherheitslücke im Acrobat Reader (CVE-2010-0188)
Wenn eine angreifbare Version des Readers instaliert ist, wird versucht, von mehreren gehackten Servern, Malware nachzuladen.
Es handelt sich um den bereits bekannten: Backdoor.Bublik.


2013-02-21 20:11:27 UTC ( vor 53 Minuten )
https://www.virustotal.com/file/6656...is/1361477487/
MD5: 4212b5c8f088668a18be7f2b09217517
SHA1: ad3e53bc2fb7c2274554e413b9e73131a8854cef
Detect: 7 / 46

Trojan.Bublik (Malwarebytes)
UDSangerousObject.Multi.Generic (Kaspersky)
Mal/EncPk-AIT (Sophos)
TR/Spy.Bebloh.EB.97 (AntiVir)
Gen:Trojan.Heur.FU.oSX@aCvImxfc (B) (Emsisoft)
Spyware/Win32.Zbot (AhnLab-V3)
Suspicious file (Panda)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
"defm.exe" C:\WINDOWS\system32\defm.exe

die Malware verbindet zu:

metalcrew.net/f/t.php

diese ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. http://markusg.trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- neueste Adobe Reader Version instalieren:
Adobe - Adobe Reader herunterladen - Alle Versionen
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.

Wer sich unsicher ist, ob ein Dokument sauber ist, welches er per E-Mail erhält, kann sieses z.B. hier gegenprüfen:
https://joedd.joesecurity.org/index.php/