Valse e-mail AutoWeek.nl bevat malware

Discussieforum voor vragen, mededelingen en waarschuwingen op het gebied van computerbeveiliging en privacy.
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 42121
Lid geworden op: 27 sep 2008 10:18
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Anti-Malware
Contacteer:

#1

Internetoplichters c.q. cybercriminelen misbruiken de naam van AutoWeek.nl voor het versturen van valse e-mails, die schadelijke software (malware) bevatten. Het gaat hierbij om een e-mail van [noreply(at)autoweek.nl] met een bijlage waarin een opgevraagd "Kentekenrapport" is bijgevoegd in een ZIP bestand met de volledige bestandsnaam "Kentekenrapport-PYFZ6TDA.zip".

Wanneer u deze bijlage, het ZIP bestand opent ziet u een vermomd bestand dat zich als een PDF bestand voordoet met een dubbele extensie (Kentekenrapport-6HT5D33C.pdf.exe). Wanneer op uw computer de optie "Extensies voor bekende bestandstypen" staat ingeschakeld ziet u natuurlijk alleen de eerste extensie (*.PDF) waarbij de laatste extensie die laat zien dat het om een uitvoerbaar bestand gaat verborgen zal zijn.
Ook wordt er geen gebruik gemaakt van een pictogram zodat het lijkt alsof het een PDF bestand betreft, maar is er een pictogram van een computerchip gebruikt.

Afbeelding

Wanneer u deze bijlage opent, en vervolgens het uitvoerbare bestand uitvoert komt er natuurlijk geen Kentekenrapport tevoorschijn, maar wordt er malware op uw pc geïnstalleerd. Deze malware nestelt zich als "SunJavaUpdateSched" wat lijkt op de legitieme "SunJavaUpdateScheduler" van Java onder [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run].
Het betreffende bestand C:\ProgramData\svchost.exe wat eveneens een legitieme bestand naam van Windows gebruikt met de MD5 hash 542133027CB0A7B799E392A30D4089A7 heeft nog een zeer lage detectie op VirusTotal, 3 van de 47 scanengines detecteren het bestand als kwaadaardig.
  • Kaspersky UDS:DangerousObject.Multi.Generic
  • Symantec Suspicious.Cloud.5
  • VBA32 Malware-Cryptor.Inject.gen.2
Valse e-mail AutoWeek.nl bevat malware
Heeft u zo'n e-mail ontvangen? Dan kunt u die het beste verwijderen of doorsturen naar valse-email(at)fraudehelpdesk.nl, open nooit de bijlage en probeer zeker niet het zogenaamde PDF bestand te openen. Dit inhoud van de betreffende e-mail is beknopt, waarbij er alleen gesproken wordt over het opgevraagde kentekenrapport.

Beste,

Hierbij ontvangt u het opgevraagde kentekenrapport (basis versie) voor de auto.

Met vriendelijke groet,
AutoWeek

Andromeda, Sinowal Malware
Mark Loman van het bedrijf Surfright laat via Twitter weten dat het hier om de Adromeda backdoor gaat die ook bekend staat onder de naam "Gamarue" en de Torpig, Sinowal malware installeert.

Download de Afbeelding 32 of 64 bit versie van HitmanPro naar het bureaublad. Klik hier voor een uitgebreide handleiding van HitmanPro.
  • Dubbelklik op "HitmanPro.exe" en klik op "volgende"
  • Vink de optie "Ik accepteer de voorwaarden van de gebruikersovereenkomst aan" en klik op "Volgende"
  • Klik in het setup scherm nu nogmaals op "Volgende", nu zal automatisch de scan starten, doe verder niets op de computer totdat de scan gereed is.
  • Als de scan klaar is klik je op "volgende"
  • Activeer nu de gratis licentie, hiermee kunt u 30 dagen gratis HitmanPro gebruiken en de gevonden infecties verwijderen.
  • Note: indien u reeds eerder gebruik hebt gemaakt van de 30 dagen trial-versie van HitmanPro is het niet meer mogelijk om gratis de gevonden infecties te verwijderen.
  • Als het verwijderen gereed is klik je onderin het scherm op "Save log" of "Logbestand opslaan" en sla deze op bijvoorbeeld het bureaublad op.
    Post dit logje.
  • Klik nu op de knop "Herstarten".
Plaats reactie

Terug naar “Beveiliging & Privacy”