Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   T-Mobile spam: Foto MMS (https://www.trojaner-board.de/143474-t-mobile-spam-foto-mms.html)

markusg 23.10.2013 15:27
T-Mobile spam: Foto MMS
 
Foto MMS



Wer eine Mail mit dem Betreff
Code:

"Foto MMS"
Erhält, sollte diese an uns weiterleiten.
  Von:  <es.roy4@t-mobile.de <mailto:es.roy4@t-mobile.de
(gefälschter Absender)
@t-mobile bleibt immer, namen endern sich.
  Betreff:  Foto MMS 

  Absender:  +4916050515543 

  Telekom MMS:



 MMS empfangen - auch per E-Mail

 <Bis zu 1000 Zeichen Text je MMS
 < E-Mailadressen oder ins Telekom Festnetz bis 300 KB
 < Der Empfang von Foto und Video MMS im Inland ist kostenlos. Wenn Sie eine
 MMS an eine E-Mail senden, erhält der Empfänger eine E-Mail mit Anhang2).
 Falls der Empfänger kein MMS-fähiges Handy besitzt, kann er Ihre Nachricht auf
 der Website www.mms.t-mobile.de <http://www.mms.t-mobile.de> abholen und auch
 weiterleiten2). Den nötigen Link und das individuelle Passwort auf der Website
 erhält er per SMS.
Es hängt an:
23-10-2013 05_79_26.zip
(Nummern können varieren)
Rund 52,8 KB
Virustotal Ergebniss der enthaltenen Exe-Datei:
https://www.virustotal.com/en/file/1...is/1382535995/
SHA256:
107336fc863d3e4d099c650cf44767cbf69ab6967e94e2d54d149b5bcdb8429b
File name:
23-10-2013 13_64_09.jpeg.exe
Detection ratio:
3 / 44
Commtouch
W32/Trojan.HFTX-7758
Kaspersky
UDS:DangerousObject.Multi.Generic
Panda
Suspicious file

Es handelt sich hierbei um Backdoor.Bublik


Folgene Autostart Einträge werden erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
10006
c:\dokume~1\alluse~1\dxdwikk.exe
die Malware verbindet zu:
dotier.net/zeta.php
chiao.ru/dogs.php
forks.su/queens.php
prigga.com/jonny.php
squor.ru/belive.php
chudakov.net/goto.php?num=1468
Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen
Code:
http://www.trojaner-board.de/143474-t-mobile-spam-foto-mms.html

compies 23.10.2013 17:31
Habe ihn heute mehrfach bekommen .. gleiche Signatur der Datei.

Hab das ding mal ein wenig in der VM untersucht und erfolgreich wieder entfernt.

Seltsamerweise war nach einem Neustart bis zu einem wirklichen Poweroff der VM die random.exe Datei immer wieder da.
Haudrauf-Removal-Methode: Registry-Key Löschen Files unter App Data/Roaming löschen und dann den Stecker ziehen.

An den üblichen anderen Stellen ist Run/Runonce/Shell etc. war nichts zu finden und auch die
Logs von den üblichen Tools gaben keinen Aufschluss warum das Teil nach einem Reeboot wieder neu geladen da war.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131