Wednesday, 21 January 2015

Potwierdzenie zlozenia zamowienia nr malware

Potwierdzenie zlozenia zamowienia nr subject malware in the form of a html email, with an attached ZIP file...

Headers:
Subject: Potwierdzenie zlozenia zamowienia nr 9671
Message body:
POTWIERDZENIE ZŁOŻENIA ZAMÓWIENIA
Dziękujemy za złożenie zamówienia w sklepie
Twoje zamówienie ma numer 1030.

Realizacja zamówienia w przypadku przedpłaty/przelewu
odbywa się niezwłocznie po otrzymaniu wpłaty na konto
35 1086 7765 2545 7805 7476 7856

Czas realizacji zamówienia 1-3 dni robocze

Wartość zamówienia: 86,76 zł netto, 95,27 zł z VAT

Wybrana forma przesyłki: Poczta Polska paczka priorytet przesyłka za pobraniem - 18,00 zł
Poczta Polska paczka priorytet - przesyłka za pobraniem 18 zł

Twoje uwagi:
Proszę poinformować mnie o wysłaniu paczki. Dziękuję.

Aktualny status: Zamówienie oczekuje na akceptację przez sprzedającego.

Szczegóły Szczegóły zamówienia możesz zobaczyć dodatek:

Attached to the email is a ZIP file:
order9384_PDF_dubl.pdf.zip

On the Windows machine, Inside the zip, is Windows executable (Note the dual extension)
order9043_PDF_dubl.pdf.exe

Md5 Hashes:
c8bd86b2a2dc592a053a6a45500500c2

Malware Information:

VirusTotal Report [1] (hits 3/55 Virus Scanners)

Malwr Report [1]

Summary:

Collects information to fingerprint the system (MachineGuid, DigitalProductId, SystemBiosDate)
Executed a process and injected code into it, probably while unpacking
Installs itself for autorun at Windows startup

Hybrid-Analysis Report: [1] (Detailed)

Cheers,

Steve
Sanesecurity.com

No comments: