Trojaner-Board - almado-ENERGY Spam: Ihre Vertragsbest tigung

Ihre Vertragsbest tigung

Wer eine Mail mit dem Betreff

Zitat:

"Ihre Vertragsbest tigung"
Erhält, sollte diese an uns weiterleiten.
From: <kontakt-noreply@kundenservice-energie.de>
(gefälschter Absender)
Subject: Ihre Vertragsbest tigung
Vertragsnummer: 2555320791
*(kann varieren)
Sehr geehrter,
*
schön, dass Sie sich für almado-ENERGY entschieden haben. Vielen Dank für Ihren Auftrag zur Stromversorgung. Mit dieser E-Mail übersenden wir Ihnen als
Anlage Ihre Vertragsbestätigung.
*
Bitte prüfen Sie die in der Vertragsbestätigung enthaltenen Daten.
*
Wir freuen uns, Sie in Zukunft mit Strom versorgen zu können.
*
Mit freundlichen Grüßen
Ihr almado-ENERGY Team
___________________________________________________________________
Postanschrift:
almado-ENERGY GmbH
Postfach 40 01 62
50831 Köln
*
Firmensitz:
Aachener Str. 1253
50858 Köln
*
Tel.: 01805 015 424*
Fax: 0180 5 015421*
*14 ct/Min. aus dem deutschen Festnetz, max. 42 ct/Min. aus dem Mobilfunknetz.
*
Geschäftsführer: *Antoine Beinhoff
*
Amtsgericht Köln
HRB 78194
*
*
Aufsichtsbehörde:
Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
Tulpenfeld 4
53113 Bonn
*
Diese E-Mail enthält vertrauliche und rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind und diese E-Mail irrtümlich erhalten
haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mails. Das Kopieren von Inhalten dieser E-Mail, die Weitergabe ohne Genehmigung
ist nicht erlaubt und stellt eine Verletzung der Rechte des Absenders dar.

________________________________________________________________

Es hängt an:
Auftragsbestaetigung_793693.zip
Rund 54,8 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:

https://www.virustotal.com/file/ff56...is/1369132862/
MD5: cd84490434f11448fdca1ebffa083e14
SHA1: 7ab438122b43bf3c21c571b39b559d72e53e5a7d
Detect: 8 / 47

UDS:DangerousObject.Multi.Generic (Kaspersky)
BackDoor.IRC.NgrBot.42 (DrWeb)
VirTool:Win32/CeeInject.gen!JQ (Microsoft)
Dropper/Win32.Injector (AhnLab-V3)
a variant of Win32/Injector.AGWW (ESET-NOD32)
Trojan.Agent!534F (Rising)
Trojan-Spy.Win32.Zbot (Ikarus)
Trj/Genetic.gen (Panda)

Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
c:\docume~1\alluse~1\dxcovnfhl.exe

Starteintrag für Andromeda.

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{F9880A03-0C3D-CA0D-0C74-DEE287DC9A27}
"C:\Documents and Settings\Administrator\Application Data\Ebodzuf\ygirwa.exe"

Starteintrag für Zbot (Banking Malware)

die Malware verbindet zu:

westsailors.com/LL/images/hhost.exe

westsailors.com/LL/images/mouse.exe

euspeed.pl/oliver.php

modemi.pl/melony.php

cheapware.pl/csi.php

sngroup.pl/index.php

Diese Malware ist in der Lage, sensible Daten zu stehlen.
Passwörter, Banking Daten, etc.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/135291-almado-energy-spam-vertragsbest-tigung.html