Booking confirmation 4343294142

[vgwort line=“16″ server=“vg08″ openid=“4bceb5c4c2f047d596993a39d71177b2″]

Heute sind gleich zwei Buchungsbestätigungen im Postfach eingetroffen. Nur habe ich meine Buchung schon vor ein paar Tagen vorgenommen und es gibt keine Veranlassung mir heute zwei Bestätigungen zu schicken. Es handelt sich bei den Mails nicht um echte Buchungsbestätigungen, sondern um ein Trojanisches Pferd. Besonders gut gemacht ist die Mail nicht. Zum einen gibt es keinen Empfänger, was bedeutet, mein Adresse ist nur in Blindkopie beteiligt. Warum sollte booking.com dies tun? Zweitens sind zu wenig Informationen in der Mail, womit ich wohl zum Öffnen des Anhanges verleitet werden soll. Drittens ist die Mail sehr kurz und extrem schlecht formatiert. Am Ende der Mail Adresse fehlt eine Leerstelle, so dass das Yours mit der Adresse zu customer.service@booking.comYours verschmilzt. Ein Anhang im ZIP-Format sollte immer Verdacht erregen und einen Blick in das ZIP-File zeigt: Hier wurde ein ausführbares Programm gleichen Namens eingepackt. Dies stinkt gewaltig nach einem trojanischen Pferd. ClamAV und Antivir haben allerdings nicht angeschlagen. Eine Prüfung bei VirusTotal ergibt 17 Treffer von 43 Virenscanner. Mit einer ersten Analyse vor knapp 5 Stunden ist der Gaul noch ein junges Fohlen.

Ein Blick in den Header zeigt, dass mein Server die Mail von einem Rechner mit der Adresse 113.190.224.159, der zum Netz 113.190.224.0/19 der VietNam Post and Telecom Corporation (VNPT) gehört, empfangen hat. Weiter zurückliegende Einträge sehr wahrscheinlich Täuschungen, um eine echte Mail Spam-Filter zu imitieren.

Hier steckt etwas mehr Mühe drin. Leider habe ich keine Vergleichsmail von booking.com, so dass ich nichts darüber sagen kann, wie gut dies beiden letzten Einträge mit dem Original übereinstimmen. booking.com ist in den Niederlanden zu hause und wird mir kaum die Mails über einen vietnamesischen Server mit vermutlich dynamischer IP zustellen. Der derzeit unter 113.190.224.159 erreichbare Rechner hat im übrigen nur den Port 80 offen, d.h. er empfängt keine Mails zur Weiterleitung.

Genug der Analyse; hier die Erkenntnisse:

1. Verfallt nicht in Panik, wenn Ihr nichts gebucht habt, aber Buchungsbestätigungen bekommt. Es könnte zwar ein unfreundlicher Zeitgenosse sein, der mal für Euch gebucht hat, aber es ist eher ein Trojaner.
2. Nicht auf Spam-Filter und Anti-Viren Software verlassen. Erst nachdenken, dann Anhänge öffnen. Je näher am Original, desto schwerer hat es ein Spam-Filter.

Nachtrag: Es sind auch drei Mails im Spam-Filter hängen geblieben. Dabei fiel mir soeben auf, dass es auch einen HTML-Teil gibt, der etwas besser formatiert ist. Ich bevorzuge – nicht nur , aber auch – aus Sicherheitsgründen die plain text Ansicht. 😉

Siehe auch:

1. Bericht bei VirusTotal
2. The Threat Expert: Trojan.Win32.Inject.cqrg

Aliase des Trojaners:

1. Artemis!C5C106FB214A
2. Win32/Spy.Bebloh.H
3. W32/Bublik.A
4. Trojan.Bebloh
5. Trojan.Win32.Inject.dfsk
6. Trojan.Injector.AAO
7. Trojan.Win32.Inject!IK
8. Trojan.DownLoader5.56805
9. Trojan.Win32.Generic!BT
10. TR/Spy.Bebloh.Q
11. Artemis!C5C106FB214A
12. Troj/Bublik-B
13. Trojan:Win32/Bublik.B
14. W32/Bublik.A
15. Trojan.Win32.Generic.12BA6613
16. Trojan.Win32.Inject
17. Generic27.ARTN