Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
| Antivirus | Version | Letzte Akt. | Ergebnis |
|---|---|---|---|
| AhnLab-V3 | 2007.11.17.0 | 2007.11.16 | – |
| Authentium | 4.93.8 | 2007.11.16 | W32/Trojan.AMBF |
| AVG | 7.5.0.503 | 2007.11.16 | PSW.Generic4.FVG |
| CAT-QuickHeal | 9.00 | 2007.11.16 | – |
| DrWeb | 4.44.0.09170 | 2007.11.16 | Trojan.PWS.Lineage |
| eTrust-Vet | 31.2.5300 | 2007.11.16 | – |
| FileAdvisor | 1 | 2007.11.16 | – |
| F-Prot | 4.4.2.54 | 2007.11.16 | W32/Trojan.AMBF |
| Ikarus | T3.1.1.12 | 2007.11.16 | Trojan-Spy.Win32.Goldun.lw |
| McAfee | 5165 | 2007.11.16 | Generic PWS.y |
| NOD32v2 | 2664 | 2007.11.16 | Win32/TrojanDropper.ErPack |
| Panda | 9.0.0.4 | 2007.11.16 | – |
| Rising | 20.18.40.00 | 2007.11.16 | – |
| Sunbelt | 2.2.907.0 | 2007.11.16 | Trojan-Dropper.Delf.HT |
| TheHacker | 6.2.9.132 | 2007.11.16 | – |
| VirusBuster | 4.3.26:9 | 2007.11.16 | TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem
Kommentare gesperrt wegen Spam
Comment by Christian — 15. März 2009 @ 20:03