Solid Block of Ise

Quadrudos rapporterar att han fick ett underligt mail idag. Jag fick själv nästan exakt samma mail igår.

Den enda skillnaden mellan dem är avsändaren. Det mail som Quadrudos fick påstås komma från “Lisa Johansson” (med en mailadress som är magic at hajmail.com) och det mail jag fick påstås komma från “Frida Gillberg” (med adress macromolecular at ubi.com). Det här är säkert riktiga adresser som samlats upp och som används för att fejka utskicket.

När jag kikar på de headers som följde med visar det sig att mailet skickats från en host som heter 53537491.cable.casema.nl vilket betyder att det mest troligt kommer från nån zombifierad dator, tydligen placerad i Nederländerna.

Innehållet i mailet såg ut så här:

Bäste Kund!

Räkningen

Filerna är bifogade som en bilaga och kan vidarebefordras tillsammans med detta meddelande.

Jag använder en gratis version av SPAMfighter som har fram till nu raderat 227 SPAM-brev.
SPAMfighter är helt fri för privatbruk.
Det kan provas nu och gratis: TRYCK HÄR

Dessutom bifogades en ZIP-fil som heter “räkningen.zip” och som när man öppnade upp den innehöll en EXE-fil med samma namn. Jag orkade inte virusscanna den igår eftersom det uppenbarligen ligger en hund begraven nånstans. Mailet är ren text och oavsett vad som påstås i slutet så är det inte en länk.

För skojs skull provade jag nu att packa upp filen, och omedelbart rapporterar Kaspersky att filen är smittad med Trojan-Spy.Win32.BZub.cw. Det låter som en trojan, och F-secure listar ett virus som BZub.bl, gissningsvis är det som finns i den här filen en variant.

EDIT: Google-sökte lite på innehållet, och tydligen är det här en Haxdoor-variant.

Haxdoor is a powerful backdoor with rootkit and spying capabilities. It can hide its presence, processes and files, on an infected system.

EDIT2: Det står lite mer utförligt om precis den här varianten på F-Secures blog. Där har man lite skärmdumpar också.

License

This work is published under a Creative Commons Attribution-NoDerivs 2.5 Sweden License.