Neulich mal wieder in meiner Inbox:
Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:
Antivirus | Version | Letzte Akt. | Ergebnis |
---|---|---|---|
AhnLab-V3 | 2007.11.17.0 | 2007.11.16 | – |
Authentium | 4.93.8 | 2007.11.16 | W32/Trojan.AMBF |
AVG | 7.5.0.503 | 2007.11.16 | PSW.Generic4.FVG |
CAT-QuickHeal | 9.00 | 2007.11.16 | – |
DrWeb | 4.44.0.09170 | 2007.11.16 | Trojan.PWS.Lineage |
eTrust-Vet | 31.2.5300 | 2007.11.16 | – |
FileAdvisor | 1 | 2007.11.16 | – |
F-Prot | 4.4.2.54 | 2007.11.16 | W32/Trojan.AMBF |
Ikarus | T3.1.1.12 | 2007.11.16 | Trojan-Spy.Win32.Goldun.lw |
McAfee | 5165 | 2007.11.16 | Generic PWS.y |
NOD32v2 | 2664 | 2007.11.16 | Win32/TrojanDropper.ErPack |
Panda | 9.0.0.4 | 2007.11.16 | – |
Rising | 20.18.40.00 | 2007.11.16 | – |
Sunbelt | 2.2.907.0 | 2007.11.16 | Trojan-Dropper.Delf.HT |
TheHacker | 6.2.9.132 | 2007.11.16 | – |
VirusBuster | 4.3.26:9 | 2007.11.16 | TrojanSpy.BZub.AFW |
Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?
Ach ja:
DNS: www.cristhmasx.com –> 58.65.239.99
APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong
und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem