Spam: "Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 (Nr. 95921500725106)"

This spam leads to malware:

From:     Deutsche Telekom AG [g.dogan@idolcarpet.com]
Date:     26 November 2014 at 06:57
Subject:     Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 (Nr. 95921500725106)


Sehr geehrte Kundin, sehr geehrter Kunde,

als Anlage ist die Rechnung 7188201282 als PDF-Datei: Telefonrechnung Telekom November.

Der Gesamtbetrag im Monat November 2014 ist ausgewiesen mit: 271,02 Euro.



Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 1287171
WEEE-Reg.-Nr.: 8820712 

The link in the email goes to http://taxi-haarlem.com/wp-content/ajisev8X7AOkLY from where it downloads rechnung_november_2014_0003900028.zip containing a malicious executable rechnung_november_2014_0003900028_2014_11_0029302375471_03_444_0039938289.exe which has an icon that looks like a PDF file.

This malware has a VirusTotal detection rate of 6/55. The Malwr report shows that it is hardeded against analysis, but it does connect to the following URL:

http://162.144.106.152:8080/974aade0/d0392bb4/

162.144.106.152 has been used several times recently in this type of attack, it is a compromised server belonging to Unified Layer in the US. I strongly suggest that you block traffic to this IP.