Achtung neuer Crypto Locker im Anflug
Er tarnt sich als DHL Paketverfolgung:
---- From: DHL Paketverfolgung tracking@dhl.de Subject: DHL-Paket-Lieferung fehlgeschlagen Reply-To: <DHL Paketverfolgung tracking@dhl.de>
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen. Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS Deutsche Post AG Charles-de-Gaulle-Straße 20 PLZ/ Ort: 53113 Bonn ----
Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:
unzip -t Desktop/Sendung_056392024191.zip Archive: Desktop/Sendung_056392024191.zip testing: Sendungsetikett_056392024191.pdf.js.js OK testing: Sendungsinformationen_056392024191.pdf.js.js OK No errors detected in compressed data of Desktop/Sendung_056392024191.zip.
In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code. Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner unter Kontrolle bringt.
Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.
p@rick
Am 29.06.2016 um 10:34 schrieb Patrick Ben Koetter:
Er tarnt sich als DHL Paketverfolgung:
Achtung kein Allheilmittel, diese sieve regel hier, rejected kleine zip Anhaenge mit whitelist fuer einen Empfaenger ( dmarc reports kommen auch oft als kleine zip im Anhang ), kann man auch global verwenden,
require ["reject","mime","foreverypart"]; if address :all :comparator "i;ascii-casemap" :contains ["To", "Cc", "Bcc", "Resent-to"] "postmaster@exmaple.com" { keep; stop; } foreverypart { if allof ( header :mime :param "filename" :matches ["Content-Type", "Content-Disposition"] ["*.zip", "*.tar.gz" ], size :under 100k ) { reject "small compressed attachments rejected by filter"; stop; } }
From: DHL Paketverfolgung tracking@dhl.de Subject: DHL-Paket-Lieferung fehlgeschlagen Reply-To: <DHL Paketverfolgung tracking@dhl.de>
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen. Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS Deutsche Post AG Charles-de-Gaulle-Straße 20 PLZ/ Ort: 53113 Bonn
Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:
unzip -t Desktop/Sendung_056392024191.zip Archive: Desktop/Sendung_056392024191.zip testing: Sendungsetikett_056392024191.pdf.js.js OK testing: Sendungsinformationen_056392024191.pdf.js.js OK No errors detected in compressed data of Desktop/Sendung_056392024191.zip.
In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code. Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner unter Kontrolle bringt.
Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.
p@rick
Best Regards MfG Robert Schetterer
participants (2)
-
Patrick Ben Koetter -
Robert Schetterer