Threat Level: green Handler on Duty: Remco Verhoef

SANS ISC: German THANKS FOR YOUR ORDER spam - SANS Internet Storm Center SANS ISC InfoSec Forums


Sign Up for Free!   Forgot Password?
Log In or Sign Up for Free!
German THANKS FOR YOUR ORDER spam
Megel, A Internet Storm Center contributor, alerted us to a new German spam with a file that claims to be a PDF but is really a downloader. He started seeing this file arrive via email friday AM.
The message is basically an “thank you for your order read the pdf enclosed for details” type message. Not very original or new but it must work or the hackers would quit using this approach.


Original text from one sample messege:

Guten Tag,
Vielen Dank fur Ihre Bestellung!
Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend
durch die Logistikabteilung an Sie versandt.
Im Anhang finden Sie Ihr(en) Angebot/Auftrag im PDF-Format mit Beleg Nr.
1837118.
Offnen Sie angefugte PDF-Dateien mit Acrobat Reader. Diesen konnen Sie unter
http://www.adobe.de/products/acrobat/readstep2.html kostenlos herunterladen.
Um eine schnellstmogliche Bearbeitung Ihre Ruckfragen gewahrleisten zu
konnen,
bitten wir Sie bei Ruckfragen immer Ihre Kundennummer 77316 und
Belegnummer [3816712] anzugeben.

Vielen Dank
Mit freundlichem Grub
Eberhard Schmidt
TMS Logistik GmbH

Call Center:
tel (0180) 31 57 16 21 - 0,09 EUR/min aus dem dt. Festnetz/T-Com
fax (030) 90 16 - 29 19
web www.tms-logistik.de

Niederlassung Berlin
Albrechstrasse 117
D-01271 Berlin
----------------------------------------------------------------------------
Auf den Punkt gebracht - Ihre Vorteile als TMS Logistik Kunde
----------------------------------------------------------------------------

o 14 Tage Ruckgaberecht fur originalverpackte Neuware
o Beratung durch unsere Fachverkaufer
o Transparente Preisgestaltung und Verfugbarkeitsanzeige
o Rundumschutz durch optionales Servicepaket
o Kostenfreie Parkplatze
o Bequeme Zusendung durch uns oder DHL moglich
o Kostenfreier 80-seitiger Gesamtkatalog - auch per Post nach Hause
----------------------------------------------------------------------------
TMS Logistik - seit 12 Jahren erfolgreich in Berlin
----------------------------------------------------------------------------

Results from virustotal show its detected by some AV but mostly generically as some type of downloader.

AntiVir 7.3.1.36 02.09.2007 TR/Dldr.iBill.L
Authentium 4.93.8 02.09.2007 W32/Downloader.BBAV
Avast 4.7.936.0 02.11.2007 no virus found
AVG 386 02.10.2007 Generic3.SE
BitDefender 7.2 02.11.2007 no virus found
CAT-QuickHeal 9.00 02.09.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.11.2007 Trojan.Downloader-1405
DrWeb 4.33 02.11.2007 Trojan.DownLoader.18372
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3384 02.10.2007 no virus found
Ewido 4.0 02.11.2007 no virus found
Fortinet 2.85.0.0 02.11.2007 DwnLdr.GAI!tr
F-Prot 4.2.1.29 02.09.2007 W32/Downloader.BBAV
F-Secure 6.70.13030.0 02.10.2007 Trojan-Downloader.Win32.Nurech.aj
Ikarus T3.1.0.31 02.11.2007 Trojan-Downloader.Win32.BBAV
Kaspersky 4.0.2.24 02.11.2007 Trojan-Downloader.Win32.Nurech.aj
McAfee 4960 02.09.2007 New Win32
Microsoft 1.2204 02.11.2007 no virus found
NOD32v2 2052 02.11.2007 no virus found
Norman 5.80.02 02.09.2007 no virus found
Panda 9.0.0.4 02.11.2007 Suspicious file
Prevx1 V2 02.11.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 VIPRE.Suspicious
Symantec 10 02.11.2007 no virus found
TheHacker 6.1.6.056 02.11.2007 Trojan/Downloader.Nurech.aj
UNA 1.83 02.09.2007 no virus found
VBA32 3.11.2 02.10.2007 no virus found
VirusBuster 4.3.19:9 02.10.2007 no virus found

Aditional Information
File size: 8522 bytes
MD5: 5da184f16450d90b4c4fbec26d559130
SHA1: 16e5b73c82baad5a765123133ef87707e311d8da
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics
donald

206 Posts
ISC Handler

Sign Up for Free or Log In to start participating in the conversation!