16. November 2007

Schadcode per Social Enginering Download

Category: Hacking,Internet — Christian @ 22:00

Neulich mal wieder in meiner Inbox:

Interessantes Social Engineering, insbesondere die deutsche Adressen. Wie üblich, das Exe einmal kurz Virustotal übergeben:

Antivirus Version Letzte Akt. Ergebnis
AhnLab-V3 2007.11.17.0 2007.11.16
Authentium 4.93.8 2007.11.16 W32/Trojan.AMBF
AVG 7.5.0.503 2007.11.16 PSW.Generic4.FVG
CAT-QuickHeal 9.00 2007.11.16
DrWeb 4.44.0.09170 2007.11.16 Trojan.PWS.Lineage
eTrust-Vet 31.2.5300 2007.11.16
FileAdvisor 1 2007.11.16
F-Prot 4.4.2.54 2007.11.16 W32/Trojan.AMBF
Ikarus T3.1.1.12 2007.11.16 Trojan-Spy.Win32.Goldun.lw
McAfee 5165 2007.11.16 Generic PWS.y
NOD32v2 2664 2007.11.16 Win32/TrojanDropper.ErPack
Panda 9.0.0.4 2007.11.16
Rising 20.18.40.00 2007.11.16
Sunbelt 2.2.907.0 2007.11.16 Trojan-Dropper.Delf.HT
TheHacker 6.2.9.132 2007.11.16
VirusBuster 4.3.26:9 2007.11.16 TrojanSpy.BZub.AFW

Interessanterweise wurde der Downloadlink nicht irgendwie maskiert, die Datei liegt wirklich auf diesem Server. Ist das ein Trend?

Ach ja:

DNS: www.cristhmasx.com –> 58.65.239.99

APNIC: 58.65.239.99 –> HostFresh Internet Service Provider, Hong Kong

und besonders witzig: Auf der Webseite steht „this account temporally suspensed for security reason“ aber der Trojaner-Download funktioniert trotzdem