From: Deutsche Telekom AG [g.dogan@idolcarpet.com]The link in the email goes to http://taxi-haarlem.com/wp-content/ajisev8X7AOkLY from where it downloads rechnung_november_2014_0003900028.zip containing a malicious executable rechnung_november_2014_0003900028_2014_11_0029302375471_03_444_0039938289.exe which has an icon that looks like a PDF file.
Date: 26 November 2014 at 06:57
Subject: Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 (Nr. 95921500725106)
Sehr geehrte Kundin, sehr geehrter Kunde,
als Anlage ist die Rechnung 7188201282 als PDF-Datei: Telefonrechnung Telekom November.
Der Gesamtbetrag im Monat November 2014 ist ausgewiesen mit: 271,02 Euro.
Mit freundlichen Grüßen,
Geschäftskundenservice
Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 1287171
WEEE-Reg.-Nr.: 8820712
This malware has a VirusTotal detection rate of 6/55. The Malwr report shows that it is hardeded against analysis, but it does connect to the following URL:
http://162.144.106.152:8080/974aade0/d0392bb4/
162.144.106.152 has been used several times recently in this type of attack, it is a compromised server belonging to Unified Layer in the US. I strongly suggest that you block traffic to this IP.
No comments:
Post a Comment