2012
03.13

In den vergangenen Tagen erhielten viele Internetnutzer eMails einer Firma Paydb AG, in der sie darauf aufgemacht werden, daß eine Rechnung vorliegen würde. Andere Nutzer haben gleich eine Zahlungsaufforderung erhalten. Die Empfänger stellen sich die Frage: Wer ist die Paydb AG? Vor einem Besuch der Webseite wird eindringlich gewarnt!

Die eMails enthalten unterschiedliche Namen als Absender um zu verhindern, daß die Mails leicht über Sperrlisten durch die Spamfilter entsorgt werden. Die Inhalte sind kurz und zielen darauf ab den User auf die Webseite zu lotsen:

Guten Tag

Ihre aktuelle Rechnung für den Monat Februar finden Sie unter folgendem Link:
http://seajcc.info

Der offene Betrag ist innert 10 Tagen zu begleichen.

Mit freundlichen Grüssen
Paydb AG

Vor einem Besuch der Webseite muß eindringlich gewarnt werden!

Recherchen des Antispam e.V. ergaben, daß auf der Webseite eine Datei ausführbare “Aktuelle-Rechnung.exe”. Nach Start der Datei wird ein neuer Prozeß gestartet: C:\Dokumente und Einstellungen\Administrator\Application data\regsrv32.exe
der wiederum eine Datei von der Webseite 24131192124.com herunter lädt. Diese Datei enthält ein Rootkit für das Spam-Botnet Bredolab. Nach Installation des Rootkits haben die Betreiber des Botnet die Möglichkeit sich nahezu beliebig an dem PC zu schaffen zu machen, Daten auszuspähen, diesen fernzusteuern, Keylogger zu installieren etc. Ein einmal infizierter PC kann nicht mehr als sicher gelten und sollte komplett neu aufgesetzt werden

Die Mails haben also das Ziel das Botnet Bredolab weiter auszubauen. Deshalb muß auch vor dem Besuch der Webseite selber gewarnt werden. Vermutlich ist dort Schadcode enthalten, der ebenfalls versucht Sicherheitslücken im Internet-Browser oder im Betriebssystem auszunutzen um weiteren Schadcode nachzuladen und den PC somit als Zombie für das Botnet zu gewinnen.

 

 

Share

No Comment.

Add Your Comment

You must be logged in to post a comment.