![\"Telekom](\"\/wp-content\/uploads\/2014\/05\/ishot-140514-152024.png\")
Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014<\/p><\/div> Es tobt derzeit wieder eine neue Phishing Welle. Zahlreiche Mails mit Telekom Rechnungen oder Vodafone Rechnung (EXE in ZIP) werden derzeit in haupts\u00e4chliche deutsche Postf\u00e4cher geliefert. Betreff ist “Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014, Buchungskonto: 2962325641” oder “Ihre Rechnung vom 14.05.2014 steht als PDF bereit”. Erkennungsrate liegt wieder einmal unter 5%. Die Strings im File sehen stark nach \u201cCridex” aus, den ich Mitte Januar bereits analysiert habe. Das sind die derzeitigen Indikatoren of Compromise (IoCs): C2 Domains =================== flusegame.eu flusegames.eu humpackers.org interyou.pw 162.220.246.105 (US) 195.168.1.121 (Slowakei) > brauchbar USER AGENT =================== User-Agent: Mozilla\/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident\/5.0) \u008b> unbrauchbar http:\/\/blogs.msdn.com\/b\/ie\/archive\/2010\/03\/23\/introducing-ie9-s-user-agent-string.aspx URL Request =================== POST \/70144646\/974aade0\/ HTTP\/1.1 POST \/3af6d48d\/ec8a4b32\/ HTTP\/1.1 \u008b> brauchbar Regex: POST \\\/[0-9a-f]{8}\\\/[0-9a-f]{8}\\\/ HTTP\\\/1\\.1 File System =================== Files Created VM 1 XP C:\\Documents and Settings\\Administrator\\Application Data\\Microsoft\\lmyaudio.exe 736A96BBAD59864F27F3599D88D28EA2 C:\\Documents and Settings\\Administrator\\Application Data\\6574676.bat 82E21F407E2161E350B7B90C89BFB6E4 WM 1 Win7 C:\\Users\\admin\\AppData\\Roaming\\3818398.bat 7815C2E3F3EC32232A8532C298E0458F C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\hxxshare.exe 736A96BBAD59864F27F3599D88D28EA2 VM 2 %UserProfile%\\APPLIC~1\\MICROS~1\\WWCCOM~1.EXE VM 3 C:\\Documents and Settings\\User\\Application Data\\Microsoft\\rqvupdate.exe 736a96bbad59864f27f3599d88d28ea2 C:\\DOCUME~1\\User\\LOCALS~1\\Temp\\1.tmp bdb072ca6b6980addcad385462379c21 C:\\Documents and Settings\\User\\Application Data\\1478967.bat e7f01e2614ea2a1202c2c1f04f930343 \u008b> MD5 brauchbar: 736a96bbad59864f27f3599d88d28ea2 === Links Infos http:\/\/www.mimikama.at\/allgemein\/trojaner-warnung-telekom-e-mail-mit-dem-betreff-rechnungonline-monat-mai-2014-buchungskonto-2962325641-sic\/ Virustotal Analyse ZIP https:\/\/www.virustotal.com\/en\/file\/4f54a33986c83dd6459986c730072c8e8b82386de9f517d95d8e2136faabd781\/analysis\/ Threat Expert Report http:\/\/www.threatexpert.com\/report.aspx?md5=eba99ce062c104aae07a4ed39edfe6c3 http:\/\/www.threatexpert.com\/report.aspx?md5=2989f59501ae96035b8ccdf67f4d0ae0 Analyse Malicious EXE https:\/\/malwr.com\/analysis\/NTRjNzczYzVlNjE4NGI5NThlZjk4NWUzZjAyMTIyY2Q\/ <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"[caption id=\"attachment_861\" align=\"alignnone\" width=\"592\"]
\nEs tobt derzeit wieder eine neue Phishing Welle.
\nZahlreiche Mails mit Telekom Rechnungen oder Vodafone Rechnung (EXE in ZIP) werden derzeit in haupts\u00e4chliche deutsche Postf\u00e4cher geliefert. Betreff ist “Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014, Buchungskonto: 2962325641” oder “Ihre Rechnung vom 14.05.2014 steht als PDF bereit”.
\nErkennungsrate liegt wieder einmal unter 5%.
\nDie Strings im File sehen stark nach \u201cCridex” aus, den ich Mitte Januar bereits analysiert habe.
\nDas sind die derzeitigen Indikatoren of Compromise (IoCs):
\nC2 Domains
\n===================
\nflusegame.eu
\nflusegames.eu
\nhumpackers.org
\ninteryou.pw
\n162.220.246.105 (US)
\n195.168.1.121 (Slowakei)
\n> brauchbar
\nUSER AGENT
\n===================
\nUser-Agent: Mozilla\/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident\/5.0)
\n\u008b> unbrauchbar
\nhttp:\/\/blogs.msdn.com\/b\/ie\/archive\/2010\/03\/23\/introducing-ie9-s-user-agent-string.aspx<\/a>
\nURL Request
\n===================
\nPOST \/70144646\/974aade0\/ HTTP\/1.1
\nPOST \/3af6d48d\/ec8a4b32\/ HTTP\/1.1
\n\u008b> brauchbar
\nRegex: POST \\\/[0-9a-f]{8}\\\/[0-9a-f]{8}\\\/ HTTP\\\/1\\.1
\nFile System
\n===================
\nFiles Created
\nVM 1 XP
\nC:\\Documents and Settings\\Administrator\\Application Data\\Microsoft\\lmyaudio.exe
\n736A96BBAD59864F27F3599D88D28EA2
\nC:\\Documents and Settings\\Administrator\\Application Data\\6574676.bat
\n82E21F407E2161E350B7B90C89BFB6E4
\nWM 1 Win7
\nC:\\Users\\admin\\AppData\\Roaming\\3818398.bat
\n7815C2E3F3EC32232A8532C298E0458F
\nC:\\Users\\admin\\AppData\\Roaming\\Microsoft\\hxxshare.exe
\n736A96BBAD59864F27F3599D88D28EA2
\nVM 2
\n%UserProfile%\\APPLIC~1\\MICROS~1\\WWCCOM~1.EXE
\nVM 3
\nC:\\Documents and Settings\\User\\Application Data\\Microsoft\\rqvupdate.exe
\n736a96bbad59864f27f3599d88d28ea2
\nC:\\DOCUME~1\\User\\LOCALS~1\\Temp\\1.tmp
\nbdb072ca6b6980addcad385462379c21
\nC:\\Documents and Settings\\User\\Application Data\\1478967.bat
\ne7f01e2614ea2a1202c2c1f04f930343
\n\u008b> MD5 brauchbar:
\n736a96bbad59864f27f3599d88d28ea2
\n=== Links
\nInfos
\nhttp:\/\/www.mimikama.at\/allgemein\/trojaner-warnung-telekom-e-mail-mit-dem-betreff-rechnungonline-monat-mai-2014-buchungskonto-2962325641-sic\/<\/a>
\nVirustotal Analyse ZIP
\nhttps:\/\/www.virustotal.com\/en\/file\/4f54a33986c83dd6459986c730072c8e8b82386de9f517d95d8e2136faabd781\/analysis\/<\/a>
\nThreat Expert Report
\nhttp:\/\/www.threatexpert.com\/report.aspx?md5=eba99ce062c104aae07a4ed39edfe6c3<\/a>
\nhttp:\/\/www.threatexpert.com\/report.aspx?md5=2989f59501ae96035b8ccdf67f4d0ae0<\/a>
\nAnalyse Malicious EXE
\nhttps:\/\/malwr.com\/analysis\/NTRjNzczYzVlNjE4NGI5NThlZjk4NWUzZjAyMTIyY2Q\/<\/a>
\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"![\"Telekom](\"https:\/\/www.nextron-systems.com\/wp-content\/uploads\/2014\/05\/ishot-140514-152024.png\")
Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014[\/caption]\r\nEs tobt derzeit wieder eine neue Phishing Welle.\r\nZahlreiche Mails mit Telekom Rechnungen oder Vodafone Rechnung (EXE in ZIP) werden derzeit in haupts\u00e4chliche deutsche Postf\u00e4cher geliefert. Betreff ist \"Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014, Buchungskonto: 2962325641\" oder \"Ihre Rechnung vom 14.05.2014 steht als PDF bereit\".\r\nErkennungsrate liegt wieder einmal unter 5%.\r\nDie Strings im File sehen stark nach \u201cCridex\" aus, den ich Mitte Januar bereits analysiert habe.\r\nDas sind die derzeitigen Indikatoren of Compromise (IoCs):\r\nC2 Domains\r\n===================\r\nflusegame.eu\r\nflusegames.eu\r\nhumpackers.org\r\ninteryou.pw\r\n162.220.246.105 (US)\r\n195.168.1.121 (Slowakei)\r\n> brauchbar\r\nUSER AGENT\r\n===================\r\nUser-Agent: Mozilla\/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident\/5.0)\r\n\u008b> unbrauchbar\r\nhttp:\/\/blogs.msdn.com\/b\/ie\/archive\/2010\/03\/23\/introducing-ie9-s-user-agent-string.aspx<\/a>\r\nURL Request\r\n===================\r\nPOST \/70144646\/974aade0\/ HTTP\/1.1\r\nPOST \/3af6d48d\/ec8a4b32\/ HTTP\/1.1\r\n\u008b> brauchbar\r\nRegex: POST \/[0-9a-f]{8}\/[0-9a-f]{8}\/ HTTP\/1.1\r\nFile System\r\n===================\r\nFiles Created\r\nVM 1 XP\r\nC:Documents and SettingsAdministratorApplication DataMicrosoftlmyaudio.exe\r\n736A96BBAD59864F27F3599D88D28EA2\r\nC:Documents and SettingsAdministratorApplication Data6574676.bat\r\n82E21F407E2161E350B7B90C89BFB6E4\r\nWM 1 Win7\r\nC:UsersadminAppDataRoaming3818398.bat\r\n7815C2E3F3EC32232A8532C298E0458F\r\nC:UsersadminAppDataRoamingMicrosofthxxshare.exe\r\n736A96BBAD59864F27F3599D88D28EA2\r\nVM 2\r\n%UserProfile%APPLIC~1MICROS~1WWCCOM~1.EXE\r\nVM 3\r\nC:Documents and SettingsUserApplication DataMicrosoftrqvupdate.exe\r\n736a96bbad59864f27f3599d88d28ea2\r\nC:DOCUME~1UserLOCALS~1Temp1.tmp\r\nbdb072ca6b6980addcad385462379c21\r\nC:Documents and SettingsUserApplication Data1478967.bat\r\ne7f01e2614ea2a1202c2c1f04f930343\r\n\u008b> MD5 brauchbar:\r\n736a96bbad59864f27f3599d88d28ea2\r\n=== Links\r\nInfos\r\nhttp:\/\/www.mimikama.at\/allgemein\/trojaner-warnung-telekom-e-mail-mit-dem-betreff-rechnungonline-monat-mai-2014-buchungskonto-2962325641-sic\/<\/a>\r\nVirustotal Analyse ZIP\r\nhttps:\/\/www.virustotal.com\/en\/file\/4f54a33986c83dd6459986c730072c8e8b82386de9f517d95d8e2136faabd781\/analysis\/<\/a>\r\nThreat Expert Report\r\nhttp:\/\/www.threatexpert.com\/report.aspx?md5=eba99ce062c104aae07a4ed39edfe6c3<\/a>\r\nhttp:\/\/www.threatexpert.com\/report.aspx?md5=2989f59501ae96035b8ccdf67f4d0ae0<\/a>\r\nAnalyse Malicious EXE\r\nhttps:\/\/malwr.com\/analysis\/NTRjNzczYzVlNjE4NGI5NThlZjk4NWUzZjAyMTIyY2Q\/<\/a>\r\n\u00a0","_et_gb_content_width":"","footnotes":""},"categories":[327],"tags":[434,435,114,149,426,436,428,437,438],"class_list":["post-7041","post","type-post","status-publish","format-standard","hentry","category-alert","tag-als-pdf","tag-buchungskonto","tag-download","tag-email","tag-rechnung","tag-rechnungonline","tag-telekom","tag-trojaner","tag-vodafone"],"yoast_head":"\n