Neuer Warezov-Downloader

Heute haben wir eine Reihe von Mailings mit einem neuen Warezov-Downloader abgefangen. Die gute Nachricht dabei ist, dass wir ihn bereits als Email-Worm.Win32.Warezov.pk entdeckt und vor zwei Tagen unserer Datenbank hinzugefügt hatten.

Das Interessante an diesen Mails ist, dass neben einer ausführbaren Datei (in diesem Fall heißt sie „access.exe“) auch verschiedene PDFs angehängt waren.

Die PDFs, die normalerweise völlig harmlos sind, haben vermeintliche finanzielle Transaktionen zum Inhalt. Hier ein Beispiel:

Lässt man sich davon in die Irre leiten und startet die ausführbare Datei, nimmt diese Kontakt zu der Site kitinjderunhadsun.com auf, von wo aus sie eine weitere ausführbare Datei herunter lädt. Diese zweite exe ist 91095 Bytes groß und wir haben sie als Email-Worm.Win32.Warezov.iq klassifiziert.

Die erste Version von Warezov wurde vor knapp einem Jahr entdeckt und seither konnte die Gruppe, die hinter diesem Wurm steckt, nicht identifiziert werden. Ich freue mich schon auf den Tag, an dem sie endlich gefasst wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.