pconflictingiroquoian.exe – Angriff auf breiter Front? (Allgemeines)

Martin Vogel ⌂ @, Dortmund / Bochum, Freitag, 29.01.2016, 22:28 (vor 934 Tagen) @ Martin Vogel

Interessant ist, dass die Mails von unterschiedlichsten Rechnern dieses Planeten stammen:

71.43.183.228 (rrcs-71-43-183-228.se.biz.rr.com) – Time Warner Cable Internet LLC, Herndon, Virginia
200.31.172.194 (net-172-pc194.salnet.net) – M. Torres, San Salvador, El Salvador
177.100.13.41 (Triagem.viacabocom.com.br) – Blue TV, São Paulo, Brasilien
202.51.186.138 (assigned-for-client.adnsl.com) – ADN Telecom Limited, Dhaka,Bangladesh

Schaut man sich die Zeichenkodierung der Worddatei an, könnte man direkt auf die Idee kommen, dass die Urheber auch diesmal in Russland zu finden sein könnten:

[image]

Übrigens: falls jemand die Datei „pconflictingiroquoian.exe“ im Windows-Temporärverzeichnis entdeckt, ist es zu spät und Microsoft Office Word hat das Makro bereits ausgeführt. Den Inhalt des Temporärverzeichnisses kann man sich anzeigen lassen, indem man in die Adresszeile des Windows-Explorers „%TEMP%“ eingibt.

[image]

Die Analyse der EXE-Datei durch Malwr ergibt folgende Auffälligkeiten des vom Makro auf die Platte geschriebenen Programms mit dem langen Namen pconflictingiroquoian.exe:

- Es führt einige HTTP-Anfragen aus, z. B. nach npkstt.ru (81.177.139.53).
- Es hält einen lange laufenden Prozess in Gang, um die Analyse zu verzögern.
- Es späht private Information lokaler Webbrowser aus.
- Es sammelt Informationen zur Identifizierung des Systems (MachineGuid, DigitalProductId, SystemBiosDate).
- Es installiert sich in den Autostart, um bei jedem Hochfahren von Windows aufgerufen zu werden.

Die HTTP-Anfragen nach Russland dienen mutmaßlich dazu, zu einem bestimmten Zeitpunkt weiteren Schadcode nachzuladen.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)



gesamter Thread:

 RSS-Feed dieser Diskussion

powered by my little forum