Hallo TPCler,
ich bin keiner der Achtung schreit aber was aktuell so läuft wollte ich dann doch mal bekannt machen.
Ich habe in den letzten Tagen auf div. Emailadressen die typische Zipdatei mit einer EXE Datei drinne bekommen.
Soweit ein alter Hut allerdings wird die enthaltene EXE Datei von so gut wie keinem Virenscanner entdeckt und das wiederholt.
Bei der Analyse dieser Dateien über mehrere Tage durch Virustotal erkannte gerade einmal einer von 51 Scannern die Datei heute ist es der dritte Tag in Folge.
Die Dateien ändern sich aber der grundlegende Aufbau nicht.
Es wird immer Code aus der Resutils.dll verwendet sowie wird eine CAB und Gif Datei geschrieben.
Auch baut das Programm z.B. eine Verbindung zum Windowsupdate auf.
Die wenigsten werden einen unbekannten Anhang öffnen aber da diese Dateien so schlecht erkannt werden aktuell wollte ich darauf aufmerksam machen.
Edit:
Hier auf Anfrage mal der Nachrichtentext:
02.06 (Verwendet rsaenh.dll um verschlüsselte Inhalte zu laden und patcht Wordpad.exe um eine spezielle DOC zu laden)
(Einige Nummer usw. durch ZAHL ersetzt)
Betreff: Bestellnummer <ZAHL>
Inhalt:
Code:
Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen!
Ihre Bestellung #<ZAHL> wird 05.06.2014 verschickt werden.
Datum: 02.06.2014 15:52:27
Summe: €128.84
Bezahlungstyp: Banküberweisung
Transaktionsnummer: <HEXZAHL>
Die Gesamtrechnung werden Sie in der Datei reservierung7477.zip finden
Mit freundlichen Grüßen,
Verkaufsabteilung
Ortrud-Elisabeth Weinberg
+4965349333279
27.05
Betreff: "pearlized
"
Inhalt:
Code:
30% der Männer fragen nach dem Sex: "Wie war ich?" Die anderen 70% reden nicht mit ihrer Hand!
Albi Bäumer
26.05
Betreff: fax aus "+49(0)30 199 671 46" - 1 seiten
Inhalt:
Code:
Faxnachricht [Caller-ID: +49(0)30 199 671 46]
Seiten: 1.
Datum: 2014.05.13 09:48:07 UTC.
Kennziffer: B51855FC1651FE7962B.
19.05
Betreff: fax aus "+49(0)30 967 123 74" - 21 seiten
Inhalt:
Code:
Faxnachricht [Caller-ID: +49(0)30 967 123 74]
Seiten: 21.
Datum: 2014.05.13 13:49:09 UTC.
Kennziffer: 4A854650546007039A7.