Er tarnt sich als DHL Paketverfolgung:
---- From: DHL Paketverfolgung tracking@dhl.de Subject: DHL-Paket-Lieferung fehlgeschlagen Reply-To: <DHL Paketverfolgung tracking@dhl.de>
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen. Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS Deutsche Post AG Charles-de-Gaulle-Straße 20 PLZ/ Ort: 53113 Bonn ----
Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:
unzip -t Desktop/Sendung_056392024191.zip Archive: Desktop/Sendung_056392024191.zip testing: Sendungsetikett_056392024191.pdf.js.js OK testing: Sendungsinformationen_056392024191.pdf.js.js OK No errors detected in compressed data of Desktop/Sendung_056392024191.zip.
In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code. Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner unter Kontrolle bringt.
Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.
p@rick