Achtung neuer Crypto Locker im Anflug

Patrick Ben Koetter p at sys4.de
Mi Jun 29 10:34:49 CEST 2016


Er tarnt sich als DHL Paketverfolgung:

----
From: DHL Paketverfolgung <tracking at dhl.de>
Subject: DHL-Paket-Lieferung fehlgeschlagen
Reply-To: <DHL Paketverfolgung <tracking at dhl.de>>

Sehr geehrter Kunde,

die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.

Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.

Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.

Mit freundlichen Grüßen,

DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn
----


Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:


unzip -t Desktop/Sendung_056392024191.zip 
Archive:  Desktop/Sendung_056392024191.zip
    testing: Sendungsetikett_056392024191.pdf.js.js   OK
    testing: Sendungsinformationen_056392024191.pdf.js.js   OK
No errors detected in compressed data of Desktop/Sendung_056392024191.zip.


In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code.
Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der
Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann
aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner
unter Kontrolle bringt.


Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien
handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users