Cisco Security Intelligence Operations has detected significant activity related to German-language spam e-mail messages that claim to contain a mail upgrade registration notification for the recipient. The text in the e-mail message attempts to convince the recipient to open the attachment and view the registration details. However, the .zip attachment contains a malicious .exe file that, when executed, attempts to infect the system with malicious code.
E-mail messages that are related to this threat (RuleID4106, RuleID4106KVR and RuleID4155) may contain any of the following files:
Abrechnung.zip
Abrechnung.exe
Rechnung_Pdf.zip
Rechnung_Pdf.exe
Rechnung_doc.zip
Rechnung_doc.exe
Abrechnung.pif
The Abrechnung.exe file in the Abrechnung.zip attachment has a file size of 61,440 bytes. The MD5 checksum, which is a unique identifier of the executable, is the following string: 0xDD8C3D5370438068E8FF61391D801E7B
The Rechnung_Pdf.exe file in the Rechnung_Pdf.zip attachment has a file size of 65,536 bytes. The MD5 checksum is the following string: 0x301647257D81E8AD5D7FF7C167CC0C06
The Rechnung_doc.exe file in the Rechnung_doc.zip attachment has a file size of 59,392 bytes. The MD5 checksum is the following string: 0x6C45310C0C21E2FF315E8B5C76313F32
A variant of the Abrechnung.exe file in the Abrechnung.zip attachment has a file size of 45,568 bytes. The MD5 checksum is the following string: 0x7E2F98E5D025CBA1CC6470D49A7CD444
A third variant of the Abrechnung.exe file in the Abrechnung.zip attachment has a file size of 105,472 bytes. The MD5 checksum is the following string: 0x81FF324D2023D8ECB98A127B87D51450
The Abrechnung.pif file in the Abrechnung.zip attachment has a file size of 59,904 bytes. The MD5 checksum, which is a unique identifier of the executable, is the following string: 0x9DE699EF09F54E3FDD84CF7C2750BFEE
The following text is a sample of the e-mail message that is associated with this threat outbreak:
Subject: Birgit Zankl Vertrag Nr 24082852
Message Body:
Sehr geehrte(r) Birgit Zankl,
Sie haben sich fr unseren Mail Upgrade angemeldet und wir freuen uns Sie als unseren frischen Nutzer zu sehen Sie k??n jetzt bis zu 550 Kurzmitteilungen pro Monat frei verschicken und Ihr Onlinespeichervolumen wird gr??r um 10 GB.
279,19 Euro fr Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto entzogen. Entnehmen Sie die Vertragsdaten bitte dem Anhang, dort finden Sie auch den Formular fr Ihre 2 Wochen Kndigungsfrist.
Mit freudlichen Grssen
Ihr Kundenservice
Or
Subject: Buchung vom Ihrem Konto 1165684
Message Body:
Sehr geehrte Damen und Herren,
Sie haben sich fr unseren Mail Upgrade registriert und wir sind sehr erfreut Sie als unseren frischen Mitglieg zu sehen
Sie sind in der Lage jetzt bis zu 600 Mitteilungen pro Monat frei verschicken und Ihr Speicherplatz erh��sich um 6 Gb.
425,19 Euro fr Registraion werden Ihnen pro 12 Monate im vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Vertragsdaten bitte dem Anhang, dort finden Sie auch das Schreiben fr Ihre 2 Wochen Kndigungsfrist.
Mit freundlichen Grߥn
Ihr Support
Or
Subject: WG: Manfred Zahlungsaufforderung Nr. 456319451
Message Body:
Guten Tag Manfred,
Sie haben sich fr unseren Email Upgrade eingetragen und wir sind sehr erfreut Sie als unseren neuen Member zu begr?n.
Sie k??n jetzt bis zu 600 Mitteilungen pro Tag kostenfrei verschicken und Ihr Speichervolumen erweitert sich um 10 Gb.
599,69 Euro fr Registrationsbeitrag werden Ihnen ein Mal in 12 Monate im Voraus von Ihrem Bankkonto abgebucht.
Manfred entziehen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch den Antrag fr Ihre 1 Wochen Kndigungsfrist.
Mit freundlichen Gr?n
Ihr Mail-Support
Cisco Security Intelligence Operations analysts examine real-world e-mail traffic data that is collected from over 100,000 contributing organizations worldwide. This data helps provide a range of information about and analysis of global e-mail security threats and trends. Cisco will continue to monitor this threat and automatically adapt IronPort systems to protect customers. This report will be updated if there are significant changes or if the risk to end users increases.
Cisco IronPort Virus Outbreak Filters protect customers during the critical period between the first exploit of a virus outbreak and the release of vendor antivirus signatures. E-mail that is managed by Cisco and end users who are protected by Cisco IronPort web security appliances will not be impacted by these attacks. Cisco IronPort appliances are automatically updated to prevent both spam e-mail and hostile web URLs from being passed to the end user.
