Megel, A Internet Storm Center contributor, alerted us to a new German spam with a file that claims to be a PDF but is really a downloader. He started seeing this file arrive via email friday AM.
The message is basically an “thank you for your order read the pdf enclosed for details” type message. Not very original or new but it must work or the hackers would quit using this approach. Original text from one sample messege: Guten Tag, Vielen Dank fur Ihre Bestellung! Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt. Im Anhang finden Sie Ihr(en) Angebot/Auftrag im PDF-Format mit Beleg Nr. 1837118. Offnen Sie angefugte PDF-Dateien mit Acrobat Reader. Diesen konnen Sie unter http://www.adobe.de/products/acrobat/readstep2.html kostenlos herunterladen. Um eine schnellstmogliche Bearbeitung Ihre Ruckfragen gewahrleisten zu konnen, bitten wir Sie bei Ruckfragen immer Ihre Kundennummer 77316 und Belegnummer [3816712] anzugeben. Vielen Dank Mit freundlichem Grub Eberhard Schmidt TMS Logistik GmbH Call Center: tel (0180) 31 57 16 21 - 0,09 EUR/min aus dem dt. Festnetz/T-Com fax (030) 90 16 - 29 19 web www.tms-logistik.de Niederlassung Berlin Albrechstrasse 117 D-01271 Berlin ---------------------------------------------------------------------------- Auf den Punkt gebracht - Ihre Vorteile als TMS Logistik Kunde ---------------------------------------------------------------------------- o 14 Tage Ruckgaberecht fur originalverpackte Neuware o Beratung durch unsere Fachverkaufer o Transparente Preisgestaltung und Verfugbarkeitsanzeige o Rundumschutz durch optionales Servicepaket o Kostenfreie Parkplatze o Bequeme Zusendung durch uns oder DHL moglich o Kostenfreier 80-seitiger Gesamtkatalog - auch per Post nach Hause ---------------------------------------------------------------------------- TMS Logistik - seit 12 Jahren erfolgreich in Berlin ---------------------------------------------------------------------------- Results from virustotal show its detected by some AV but mostly generically as some type of downloader. AntiVir 7.3.1.36 02.09.2007 TR/Dldr.iBill.L Authentium 4.93.8 02.09.2007 W32/Downloader.BBAV Avast 4.7.936.0 02.11.2007 no virus found AVG 386 02.10.2007 Generic3.SE BitDefender 7.2 02.11.2007 no virus found CAT-QuickHeal 9.00 02.09.2007 (Suspicious) - DNAScan ClamAV devel-20060426 02.11.2007 Trojan.Downloader-1405 DrWeb 4.33 02.11.2007 Trojan.DownLoader.18372 eSafe 7.0.14.0 02.09.2007 no virus found eTrust-Vet 30.4.3384 02.10.2007 no virus found Ewido 4.0 02.11.2007 no virus found Fortinet 2.85.0.0 02.11.2007 DwnLdr.GAI!tr F-Prot 4.2.1.29 02.09.2007 W32/Downloader.BBAV F-Secure 6.70.13030.0 02.10.2007 Trojan-Downloader.Win32.Nurech.aj Ikarus T3.1.0.31 02.11.2007 Trojan-Downloader.Win32.BBAV Kaspersky 4.0.2.24 02.11.2007 Trojan-Downloader.Win32.Nurech.aj McAfee 4960 02.09.2007 New Win32 Microsoft 1.2204 02.11.2007 no virus found NOD32v2 2052 02.11.2007 no virus found Norman 5.80.02 02.09.2007 no virus found Panda 9.0.0.4 02.11.2007 Suspicious file Prevx1 V2 02.11.2007 no virus found Sophos 4.13.0 02.08.2007 no virus found Sunbelt 2.2.907.0 02.09.2007 VIPRE.Suspicious Symantec 10 02.11.2007 no virus found TheHacker 6.1.6.056 02.11.2007 Trojan/Downloader.Nurech.aj UNA 1.83 02.09.2007 no virus found VBA32 3.11.2 02.10.2007 no virus found VirusBuster 4.3.19:9 02.10.2007 no virus found Aditional Information File size: 8522 bytes MD5: 5da184f16450d90b4c4fbec26d559130 SHA1: 16e5b73c82baad5a765123133ef87707e311d8da Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics |
donald 206 Posts Feb 11th 2007 |
Thread locked Subscribe |
Feb 11th 2007 1 decade ago |
Sign Up for Free or Log In to start participating in the conversation!