Trojaner-Board - vodafone Spam: Ihre Rechnung vom 28.06.2013 im Anhang als PDF

[SIZE=4]Ihre Rechnung vom 28.06.2013 im Anhang als PDF/SIZE]

Wer eine Mail mit dem Betreff
"Ihre Rechnung vom 28.06.2013 im Anhang als PDF"
erhält, sollte diese an uns weiterleiten.
From: Vodafone-OnlineRechnung <Vodafone-OnlineRechnung@vodafone.com>
(gefälschter Absender)
Betreff:
Ihre Rechnung vom 28.06.2013 im Anhang als PDF
**Ihre Kundennummer: 41311368 (kann varieren)
28.06.2013
Guten Tag!
Ihre Rechnung vom 28.06.2013 ist hier im Anhang als PDF-Datei für Sie. Falls Sie die Datei auf Ihrem Handy nicht öffnen können, versuchen Sie es bitte
an Ihrem PC.
Die Gesamtsumme beträgt 94,41 Euro und ist am 05.07.2013 fällig
Viele freundliche Grüße
Ihr Vodafone-Team
Teaserbild *
Rechnung
Es hängt an:
83714112_0000000000_I_20130628_I_13_5852.zip

Rund 1,1KB groß.
Virustotal Ergebniss der enthaltenen Exe-Datei:
https://www.virustotal.com/de/file/6...5294/analysis/
SHA256:
6702a1e2563977e4cad53e68e58e69783078e3c335a4730ea2470634cf8e5294*
Dateiname:
85700433_0000000000_X_20130628_I_13_7750.pdf.exe*
Erkennungsrate:
10 / 47 *
AntiVir
TR/Agent.27136.189
Fortinet
W32/Wauchos.I!tr
Ikarus
Win32.Outbreak
Kaspersky
Trojan-Ransom.Win32.Blocker.boad
McAfee
Artemis!563E3E157886
McAfee-GW-Edition
Heuristic.BehavesLike.Win32.Suspicious-BAY.G
Sophos
Mal/Generic-S
Symantec
Backdoor.Trojan
TotalDefense
Win32/Inject.C!generic
TrendMicro-HouseCall
TROJ_GEN.F47V0701

Es handelt sich hierbei um Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
10006*
c:\dokume~1\alluse~1\dxedxfs.exe*

Starteintrag von Gamarue

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{EA1178B6-687E-CA32-BA95-58EB2E5E1C2E}
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vyigdom\ypafona.exe"

Trojan.Citadel (Banking Malware)

die Malware verbindet zu:

hofhotel-kremer.de/bilder/oben/timer.exe

spros.pl/guangzhou.php

dasay.pl/black.php

avenues.pl/brown.php

Diese Malware ist in der Lage, sensible Daten zu stehlen. Banking Zugänge, sonstige Daten.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/137507-vodafone-spam-rechnung-28-06-2013-anhang-pdf.html