Zur Zeit versuchen es die Trojaner wieder mit DHL Tracking oder Shipment Benachrichtigungen. Die Adressierung erfolgt wieder über Blind-kopie, was bei nur einem Empfänger sehr sinnvoll ist. Die Betreff Zeile verfügt über eine – scheinbar – individuelle ID und die Tracking Number ist in jeder Mail eine andere. Auch die Anhänge haben unterschiedlichen Nummern. In der Zip-Datei ist stets eine ausführbare Datei World-Parcel-Express-Details.exe enthalten, die mal wieder nicht von clamav erkannt wird. Zwischen den einzelnen Nummern (Betreff, Tracking Number, Zip-File) haben keine auf den ersten oder zweiten Blick erkennbare Ähnlichkeit.
Die Prüfung bei Virustotal findet sich hier.
SHA256: bc30998323b291f152a5f2bd3c682b9105087859cfec8d30bdfcf83f6f4d1778 File name: World-Parcel-Express-Details05_2012-8FIRF1EX67968.zip Detection ratio: 22 / 35 Analysis date: 2012-05-16 20:55:01 UTC ( 2 Minuten ago )
Leiber Spammer,
die Formatierung des Text und des HTML-Teiles ist dürftig und bedarf dringend der Verbesserung.
Neueste Kommentare