Threat Outbreak Alert

Cisco Security Intelligence Operations has detected significant activity related to a German-language spam e-mail message that claims to contain the details of a purchase order for the recipient.  The e-mail message attempts to convince the recipient to open a .zip attachment to view the purchase order.  However, the attachment contains a malicious .pif file that, when executed, attempts to infect the system with malicious code.

The e-mail message that is related to this threat (RuleID4162, RuleID4165, and RuleID4162KVR) may contain the following files:

Vertrag.zip
Vertrag 17.05.2012.pif
Buchung.zip
Buchung 18.05.pif
Vertrag 17.05.2012.com
Mitgliedschaft.zip
Mitgliedschaft.pif
Buchung.pif
Unterlagen.zip
Unterlagen.pif
Abzug.zip
Ebay-Rechnung.pif
Anlagen.zip
Anlagen 12.06.2012 .pif
12.06.2012.zip
FOTO THUN GmbH.pif
Rechnung.zip
Rechnung nach Vertrag vom 15.07.2012 .com
Auftrag.zip
Auftrag 13.07.com

The Vertrag 17.05.2012.pif file in the Vertrag.zip attachment has a file size of 34,477 bytes.  The MD5 checksum, which is a unique identifier of the executable, is the following string: 0x78EE9C318793ADB145A5ABDC07DB8F1B

The Buchung 18.05.pif file in the Buchung.zip attachment has a file size of 73,216 bytes.  The MD5 checksum is the following string: 0x2BE22D6A7CEBD1078642CCB612DA265D

The Vertrag 17.05.2012.com file in the Vertrag.zip attachment has a file size of 71,680 bytes.  The MD5 checksum is the following string: 0xB956277FF83B800E01A5E45006EB6B45

The Mitgliedschaft.pif file in the Mitgliedschaft.zip attachment has a file size of 53,248 bytes.  The MD5 checksum is the following string: 0xA878329F092026265FF2029B7F1F1E78

The Buchung.pif file in the Buchung.zip attachment has a file size of 52,224 bytes.  The MD5 checksum is the following string: 0x12656E048DEC42B589C1902D16948BF3

The Unterlagen.pif file in the Unterlagen.zip attachment has a file size of 48,128 bytes.  The MD5 checksum is the following string: 0xE7C55AC32BD694EC72200C31D6F4793E

The Ebay-Rechnung.pif file in the Abzug.zip attachment has a file size approximately of 48,005 bytes.  The MD5 checksum is not available.

The Anlagen 12.06.2012 .pif file in the Anlagen.zip attachment has a file size of 77,824 bytes.  The MD5 checksum is the following string: 0xF006E2C76A4DFE750C08130826D0EB34

The FOTO THUN GmbH.pif file in the 12.06.2012.zip attachment has a file size of 76,288 bytes.  The MD5 checksum is the following string: 0xEC6CE550AE2BF5E07562303C0F2CC438

The Rechnung nach Vertrag vom 15.07.2012 .com file in the Rechnung.zip attachment has a file size of 98,816 bytes.  The MD5 checksum is the following string: 0xFE99DAFE4A211DC29ABFD21978361E88

The Auftrag 13.07.com file in the Auftrag.zip attachment has a file size of 55,808 bytes.  The MD5 checksum is the following string: 0xB3B2B77130EB221B015EFA7488670333

The following text is a sample of the e-mail message that is associated with this threat outbreak:

Subject: Artikelbestellung 5502425326

Message Body:

Sehr geehrte Damen und Herren,
Vielen Dank fr Ihren Einkauf bei PersonalNOVEL, nachfolgend finden Sie Ihre Kaufbest?gung.
Ihre Bestellnummer: 483534164216
Artikel: Samsung 9600558888   6992,04 Euro
Rechnungsname: Wie in Bestelldetails gekennzeichnet
Zahlungsmethode: Mastercard
Versandadresse und detaillierte Bestelldetails finden Sie zwecks Vorsichtsmassnahmen im Anhang.
Die Zahlung wurde autorisiert und wird innerhalb 3 Tage abgetragen.
Kaufeinzelheiten und Storno Mitteilung finden Sie in beigefgter Datei.
Ihr Kundensupport
Wolf GmbH
Bergstieg 67
39072 Hannover

Or

Subject: WG: Claudia Ihre Datingwebseite-Premiumanmeldung

Message Body:

Besten Dank für Ihr Vertrauen Claudia,
Sie haben soeben bei der Dating-Agentur www.Parship.com die Starmitgliedschaft beantragt. Der Betrag in Höhe von 366,69 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Die Kontobuchung erfolgt durch Rayment GmbH.
Sie sind jetzt für die kommenden 12 Monate Premiummitglied und können in voller Grösse die Elitedienstleistungen nutzen.
Entziehen Sie die Vertragsdetails bitte der Beilage, dort finden Sie auch die Vertragseinzeilheiten und Elitedienstvorteile. Falls Sie die Premium-Mitgliedschaft nicht mehr wünschen, mailen Sie die Kündigung, mit der in dem Anhang, beigelegten Widerrufserklärung.
Claudia das Team wünscht dir viel Glück.
Mit freundlichen Grüßen Klaus Bauer
Support-Team
Hamburg 01429, Deutschland
Telefon: +49-553-65257715
Geschäftsführer: Sabine Winkler
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Ursula Binder
Datenschutzbeauftragter: Karin Leitner
Ust-ID-Nr.: DE2898326711
Amtsgericht Essen
Handelsregister: HRB 46050

Or

Subject: CP Reported as Junk

Message Body:

Hallo Francesco Ciardullo,
Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung vollständig, da wir sonst Ihre Möglichkeiten bei
eBay einkaufen und verkaufen zu können, einschränken müssen.
Ihre eBay-Rechnung für den Zeitraum vom 2'k. April 2012 bis zum 12. Mai 2012 ist jetzt in beigefügtem Anhang zu sehen. Fäl l iger Betrag: 085, 9'k
Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer Zahlungsverspätung, Ihnen Mahngebühren angerechnet werden können. Ihre Artikeldetails und Stornierung Erklärung finden Sie auch im zugefügtem Zip Ordner. Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen Daten (z. B. Passwort, Kreditkarte, Kontonummer) . Vielen Dank, dass Sie eBay nutzen.
Mit freundlichen Grüßen, eBay
eBay hat diese Nachricht an Francesco Ciardullo geschickt.
Ihr Name in dieser Nachricht ist ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt.
Mehr zum Thema: http://pages.ebay.de/help/confidence/name-userid-emails.html
Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.

Cisco Security Intelligence Operations analysts examine real-world e-mail traffic data that is collected from over 100,000 contributing organizations worldwide.  This data helps provide a range of information about and analysis of global e-mail security threats and trends.  Cisco will continue to monitor this threat and automatically adapt IronPort systems to protect customers.  This report will be updated if there are significant changes or if the risk to end users increases.

Cisco IronPort Virus Outbreak Filters protect customers during the critical period between the first exploit of a virus outbreak and the release of vendor antivirus signatures.  E-mail that is managed by Cisco and end users who are protected by Cisco IronPort web security appliances will not be impacted by these attacks.  Cisco IronPort appliances are automatically updated to prevent both spam e-mail and hostile web URLs from being passed to the end user.

Related Links
Cisco Security Intelligence Operations 
Cisco Threat Operations Center
Cisco SenderBase Security Network

Version 7, June 13, 2012, 12:14 PM: Cisco Security Intelligence Operations has detected significant activity on June 12, 2012.

Version 6, June 12, 2012, 8:28 AM: Cisco Security Intelligence Operations has detected significant activity on June 12, 2012.

Version 5, May 25, 2012, 10:02 AM: Cisco Security Intelligence Operations has detected significant activity on May 25, 2012.

Version 4, May 25, 2012, 12:35 AM: Cisco Security Intelligence Operations has detected significant activity on May 24, 2012.

Version 3, May 23, 2012, 10:12 AM: Cisco Security Intelligence Operations has detected significant activity on May 23, 2012.

Version 2, May 18, 2012, 1:48 PM: Cisco Security Intelligence Operations has detected significant activity on May 18, 2012.

Version 1, May 17, 2012, 11:49 AM: Cisco Security Intelligence Operations has detected significant activity on May 17, 2012.