Trojaner-Board - Lidl Spam: Ihre Lidl-Shop.de Rechnung

Ihre Lidl-Shop.de Rechnung

Wer eine Mail mit dem Betreff

"Lidl-Shop.de Rechnung 11.08.2013"

Erhält, sollte diese an uns weiterleiten.
Von: rechnung-noreply <rechnung-noreply@lidl-shop.de
(gefälschter Absender)
An:

Betreff: Lidl-Shop.de Rechnung 11.08.2013

Sehr geehrte(r),

vielen Dank für Ihre Bestellung 663864573 vom 11.08.2013.
(Nummer und Datum können Varieren)
Die Ware wurde kürzlich an Sie versendet, die Paketnummer zur
Nachverfolgung Ihrer Sendung erhalten Sie in diese E-Mail.

In der Anlage erhalten Sie unsere Rechnung als PDF-Datei. Diese ist für
Ihre Unterlagen bestimmt und liegt nicht der Warensendung bei.

Zum Lesen und Ausdrucken des Dokuments im PDF-Format benötigen Sie
'Adobe Reader'. Dieses Programm können Sie unter dem folgenden Link zum
kostenlosen Gebrauch herunterladen:
Adobe - Adobe Reader download - All versions

Wir danken Ihnen für das Interesse an unserem Angebot und freuen uns,
Sie bald wieder auf Lidl Deutschland - lidl.de begrüßen zu dürfen.

Mit freundlichen Grüßen

Ihr Lidl-Team

Verpassen Sie keine unserer Aktionen mehr und melden Sie sich jetzt
unter Lidl Deutschland - lidl.de zu unserem Newsletter an.

Schwarz E-Commerce GmbH & Co. KG, Stiftsbergstr. 1, 74172 Neckarsulm
Sitz: Neckarsulm, Registergericht: Stuttgart, HRA 721466,
USt.IdNr.:DE814838662
Komplementärin: Schwarz E-Commerce Beteiligungs-GmbH, Sitz Neckarsulm,
Registergericht: Stuttgart, HRB 723191
Geschäftsführer; Dr. Heiko Hegwein, Carsten Schmitz, Christian Welz

Es hängt an:
Rechnung 700453218 11.08.2013.PDF.exe
Rund 113 KB
Virustotal Ergebniss der enthaltenen Exe-Datei:
https://www.virustotal.com/en/file/0...346a/analysis/
SHA256:
0300eac8986e0526b351dae238f2077f1992b84b94b4782d4aa81c49af44346a*
File name:
KabelBW_Rechnung_07_2013-6745200.pdf.exe*
(Dateiname kommt zustande, da Datei auch für eine andere Campagne genutzt wird)
Detection ratio:
5 / 45
ESET-NOD32
a variant of Win32/Injector.AKWE
Kaspersky
UDS:DangerousObject.Multi.Generic
Malwarebytes
Trojan.Agent.ED
McAfee-GW-Edition
Heuristic.BehavesLike.Win32.Suspicious-BAY.K
SUPERAntiSpyware
Trojan.Agent/Gen-Malagent

Es handelt sich hierbei um Backdoor.androm

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
10006
c:\dokume~1\alluse~1\dxpcax.exe

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
{EA1178B6-687E-CA32-BA95-58EB2E5E1C2E}
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yzo\heequk.exe"

Hierbei handelt es sich um die Banking Malware Citadel.
die Malware verbindet zu:

midde-drinn.de/i/i/nvsSCPAPISvr.exe

gerritsen.info/producten/uitpdf/mrt.exe

avini.ru/warradale.php

suburban.su/chevrolet.php

gatumi.com/welcome.php

195.137.188.59/padmin/gate.php

Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen

Code:

http://www.trojaner-board.de/139694-lidl-spam-lidl-shop-de-rechnung.html

[/QUOTE]