NACHA Alert Trojaner

2 Kommentare
Trojaner Server
Trojaner Server
Zur Zeit treten vermehrt Mails mit dem Betreff „[e-mail-adresse] Nacha Alert ID[Nummer]“ auf. Der Aufbau der HTML-Mail ist sehr einfach. Sie enthält die Aufforderung seinen NACHA Accout durch folgen des Links aufzudatieren. Die ID-Nummer in der Mail muss dabei nicht mit der im Betreff übereinstimmen. Die Links unter dem Text und dem Logo verweisen auf ein ausführbares Programm. Dabei werden verschiedenen Server verwendet. Die Datei wird bei mir von ClamAV und AntiVir zur Zeit nicht nicht als Schadsoftware erkannt. Auf VirusTotal ergibt sich eine Erkennungsrate von 8/43. BitDefender bezeichnet das Teil als Trojan.Generic.KD.540289 und Kaspersky als Trojan.Win32.Jorik.Downloader.uf

Das Programm liegt auf verschiedenen Servern. In den letzten zwei Tagen waren es folgende:

  1. cattaneoetcie.fr – 87.106.171.182 – Cattaneoet&Cie
  2. machineryvaluerssydney.com.au – 50.22.40.192
  3. rscine.ro – 209.217.228.21 – Romanian Society of Cinematographers
  4. www.soloairesmaduro.com – 72.44.88.111 – Account gesperrt

Die Datei- und Verzeichnisnamen unter denen sich der Trojaner versteckt, sind jeweils andere zufällige Zeichenfolgen. 🙂 Die Clients, die Mails verschicken, sind nicht identisch mit den Servern, auf denen die Trojaner liegen. Mail-Sender-IP: 12.215.64.124, 125.165.177.159, 188.2.55.41, 37.107.20.245. Es scheint hier gibt es ein kommunizierendes Botnetz.

Registrator ist für machineryvaluerssydney.com.au „Crazy Domains“. Passt.

Der Account für die Seite www.soloairesmaduro.com ist suspendiert und der Trojaner kann nicht mehr heruntergeladen werden. Bei den Anderen war er gerade eben noch verfügbar. Bin gespannt, ob sie auf meine E-Mail reagieren.

Es scheint leicht unterschiedliche Varianten des Trojaners zu geben. Größe der gefundenen Dateien: 95232 und 95744 Byte.

Ergänzung: Pressemitteilung NACHA:Fraudulent Emails Appearing to Come from NACHA: Educate Yourself

Schlagwörter

2 Kommentare

Kommentare sind geschlossen.