Trojaner-Board - spam: Texas plant explosion

Texas plant explosion

Wer eine Mail mit dem Betreff
"Texas plant explosion"
(aktuelle Düngerfabrik explosion)
"Video footage of Texas explosion "
erhält, sollte diese an uns weiterleiten.

Absender: verschiedene.
Subjekt: Texas plant explosion

In den Mails wird auf verschiedene gehackte Websites verwiesen, diese enden immer auf
/news.html
/texas.html

diese leiten auf das Redkit exploit pack weiter.

von dort wird dann der Payload nachgeladen.
Virustotal Ergebniss:
https://www.virustotal.com/de/file/9...sis/1366304281
SHA256:
9837743adfdbc05fab679856f1d9a849f2b5aa59a65af3445dc1a65f66b030e2
Dateiname:
bebei.exe
BitDefender
Gen:Variant.Barys.52
Commtouch
W32/CrazyCrunch-based!Maximus
Emsisoft
Gen:Variant.Barys.52 (B)
F-Prot
W32/CrazyCrunch-based!Maximus
F-Secure
Gen:Variant.Barys.52
Fortinet
W32/Tepfer.MQ!tr
GData
Gen:Variant.Barys.52
Kaspersky
HEUR:Trojan.Win32.Generic
Malwarebytes
Trojan.Agent.ED
MicroWorld-eScan
Gen:Variant.Barys.52

Es handelt sich hierbei um trojan.downloader.waledac

Die Malware startet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SonyAgent
C:\WINDOWS\Temp\temp21.exe

Backdoor.Kelihos
die Malware verbindet zu:

kolasoeg.ru/newbos3.exe

46.250.22.56/file.htm

141.101.121.94/XGQZOJ

Bitte beachten!
- diese Schadsoftware ist in der Lage, weitere Malware nachzuladen.
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- um das Ausnutzen dieser Lücken zu erschweren, bitte PC und Drittanbieter Software updaten:
http://www.trojaner-board.de/thema/s...inspector.html
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung