Trojaner: BA e-ticket receipt

BA e-ticket receipt
BA e-ticket receipt

Auf frisch im Postkaten. Interessant ist der Disclaimer am Anfang der E-Mail:

THIS IS AN AUTOMATED EMAIL – PLEASE DO NOT REPLY AS EMAILS RECEIVED AT THIS ADDRESS WILL BE AUTOMATICALLY DELETED.

Virus checking of emails (including attachments) is the responsibility of the recipient.

This message is private and confidential and may also be legally privileged. If you have received this message in error, please advise the sender and immediately, permanently destroy the document. Please do not read, print, re-transmit, store or act in reliance on it or any attachments.

Weder sollte der Empfänger sich über die versehentliche Sendung an ihn beschweren, noch sollte er den ZIP-Anhang öffnen.

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)

Achtung: Maus weg vom Anhang!

Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
Sceenshot einer angeblichen UPS Mail.
Text: Dear Bank Operator,WIRE TRANSFER: FEDW-…STATUS: REJECTED You can find details in the attached file.(Internet Explorer format)

Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt die Bezeichnung version:“0.7.8″,name:“PluginDetect“ in seinem Quellcode. Damit gehört dieser Trojaner Script zum Blackhole Exploit Kit wie auch die Spams zu YouTube und LinkedIn.
„Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)“ weiterlesen